Вторая подсетка на LAN-интерфейсе у DFL-1600

Имею в работе данное устройство.
Работает в режиме
- выход в иент (default gate для всех доп.офисов)
- IPSec между офисами


Надо добавить на LAN интерфейс ещё одну подсетку.
Т.е. имется lanNET - 172.16.100.0/24 и ipLAN - 172.16.100.1
Добавить новую подсетку lanNET10 - 172.16.110.0/24 но чтоб все из подсетки lanNET - 172.16.100.0/24 могли видеть устройства во вновь образованой подсетки lanNET10 - 172.16.110.0/24.

Т.е. если упростить вопрос - возможно вынести активное оборудование в другую подсетку из-за нехватки IP-адресов для пользователей и не использовать маршрутизацию на серверах. А сконцентрировать задачу на DFL.
ВОЗМОЖНО ли???

Конечно, можно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

На DFL можно замутить различные схемы, была бы фантазия и опыт

У меня на 260E недавно были 3 локальных сети (на lan, vlan, dmz), 2-е из них полностью общались между собой (lan-vlan), на третей был подключен роутер с Yota (dmz).
Сегодня решил от одной избавиться (убрал лишний NAT на dmz) и включил режим transparent mode (между lan и dmz) - все отлично работает.

Так что создавайте сети на интерфейсах и/или VLANах, прописывайте маршруты и правила, и получайте удовольствие

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Вот фантазии закончились, а вот опыт набираем. Но не получается, почему и спросил. С VLAN и transparent, несколько проблемотично - не все свичи управляемые и почему-то работает в одностороннем порядке LanNET -> LanNET10 идёт, LanNET10 -> LanNET не хочет.

От и маюсь..............

Правила должны быть 2-х сторонние, если нужна обоюдная взаимная видимость

Allow lan lannet lan2 lannet2 all-services
Allow lan2 lannet2 lan lannet all-services

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Если использовать Port based VLAN, то с нужного порта lan выходит нетегирируемый трафик.

_________________
DFL-260E (2.30.01.06), DAP-1360 (2.10EN), DWA-140 (1.30), DIR-300 (1.05)

Нужно решение что заявлено в теме. Искал по форуму - нашел, сделал и не работает.
Может это шутка работает только на старших моделях. У меня 800.

Что имею и что делал
Основная сеть lannet - 192.168.0.0/24 lan_ip - 192.168.0.1

Вторая сеть lannet2 - 192.168.222/24 lan_ip2 - 192.168.222.1.

Через ARP опубликовал на Lan-Интерфейсе второй IP ( lan_ip2 - 192.168.222.1)

Прописал правила
Allow lan lannet lan lannet2 all-services
Allow lan lannet2 lan lannet all-services

Отличие от выше приведенного это это отсутствие lan2. Не понял откуда такое можно взять. Пробовал вместо lan2 ставить core - не работает.

Имеются два компьютера 192.168.0.101 и 192.168.222.101 и не пингуются не тот не другой в любую сторону.

В какую сторону смотреть. Я так не понял по посту возможно ли? И что-то получилось и что работало.

Кроме ARP, нужно еще создать маршруты на добавочный ip через core и на добавочную сеть через lan.
Альтернативные (лучшие) решения:
1) использовать отдельный физ. интерфейс, например, dmz;
2) использовать port-based VLAN (Interfaces/Switch Management, есть не на всех моделях DFL);
3) использовать тегированные VLAN (требуется свитч/свитчи, поддерживающие 802.1Q).

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Работает. Но работает, если делать аккуратно и не путать core и lan, точнее не ставить core везде где хочется.

А где, конкретно, хочется, но не нужно ставить core?