Подскажите пожалуйста можно ли реализовать такую возможность: на DFL-1660 приходит на wan1 интерфейс внешняя подсеть (паблик), во второй порт включена внутрення подсеть (приватная). Можно ли на свитче подключенном к второму порту достучаться до сервера которому присвоен внешний айпишник из wan1 подсети ? Или надо ему присваивать внутренний айпишник и пробрасывать ? (Тогда проблема с тем что из вне он прекрасно видится по имени, а внутри к нему можно достучаться только по внутреннему айпишнику). Или что то делаю не так ?

Два-три раза читал. Постановку задачи так и не понял. Опишите подробно. Можно с картинкой. Что как подключено (сети, адреса, соединения) и чего хотите добиться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Сначала было так:

все что за свитчом 1 в стойке
сервер 1 имеет публичный адрес и доступен как из интернета так и из сети LAN по публичному адресу
потом решили убрать его за файрвол и сделали так:



сервер1 пришлось поменять адрес и присвоить ему внутренний приватный (10.10.10.35/24) адрес
на файрволе пробросили айпишник (NAT,SAT,PAT или как там правильно

в итоге получили что он доступен по внутреннему (приватному) внутри сети LAN адресу и из вне доступен по публичному.

Но есть одна проблема: он доступен по айпишникам , но по имени не доступен ! Т.е. по server1.mydomain.ru он доступен из интернета , т.к. адрес резолвиться в айпишник публичный и все нормально, но из нутри сети просто глухо !

Что можно сделать ? (Понятно что можно внутри LAN сети сделать днс сервер и у него на server1.mydomain.ru прописать локальный адрес, но это как то неправильно, даже потому что server190.mydomain.ru находится совсем в другой сети)

Может можно как то его заставить работать когда у сервера1 на интефейсе будет внешний айпишник настроен ?

100500 раз поднималось, но обычно люди могли сразу сказать, что хотят . Называется "NAT Loopback".
Правила:

SAT lan/lannet -> core/wan1_ip (можно существующее правило SAT расширить по src до any/all_nets)
NAT lan/lannet -> core/wan1_ip.

Собственно, правила такие же, как и для обычного проброса, но нужно, чтобы из LAN было NAT, а из WAN лучше оставить Allow.

Вам надо просто сделать NAT loopback.

Т.е. добавить правила проброса портов из внутренней сети:

SAT lan lannet core wan1_ip <нужные_сервисы> (Установить переадресацию во вкладке SAT)
NAT lan lannet core wan1_ip <нужные_сервисы>

На период отладки выше всех остальных.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Спасибо !

Это про вариант когда сервер1 имеет адрес из лан ? А можно ли ему присвоить внешний айпишник ?

ARP-ом на DFL'ке прикручивается за 45 сек с учетом перезагрузки железки

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...