В наличии DFL - 260E. (прошивка 2.40) Заведены два провайдера - на wan - ppoe от Ростелекома, на DMZ - MTC статический адрес. Оба провайдера одновременно работают и обслуживаю две независимые сети которые между собой не пересекаются (lan и vlan на DFL). На Ростелекоме настроен проброс 3 портов на пк в Lan. Аналогичные порты проброшены и у второго провайдера на тот же ПК в lan. (все это настраивалось используя PBR и правила маршрутизации). Также настроено правило для разрешения пинга DMZ снаружи. Оно работает, белый адрес от МТС пингуется снаружи.
Но вот в чем проблема - пингануть его с wan интерфейса (из подсети за wan) я не могу - в логах при пинге проходит drop.
Если у кого есть мысли на сей счет - поделитесь, буду признателен.

Не очень понятно, откуда Вы пытаетесь пинговать.
В любом случае устройство "из подсети за wan" не знает, что у Вас на DFL есть второй интерфейс. Оно будет слать пинг через Интернет, и как Вы сами пишете, это должно пройти успешно, если Интернет есть. Если же нужно, чтобы оно ходило через DFL, нужно на нем (а не на DFL) делать маршрут на адрес DMZ DFL. И на DFL PBR соответственно настроить. Только зачем Вам это?

Я пытаюсь с одного провайдера (Ростелекома) пингануть белый ip (МТС) второго. Естественно пинг пойдет через интернет - это то и нужно, но однако не выходит.

Вы пингуете с BRAS провайдера? Или втыкаете комп со стороны wan1? Объясните в конце концов, что Вы пытаетесь делать и зачем?

Вероятно, он из локалки с выходом через wan пытается пинговать внешний адрес порта dmz, типа снаружи

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Я тоже так и не понял точно, что же вы делаете и что не выходит

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

To MTRX - Вы совершенно правильно поняли. Из локалки за wan пингую внешний ip на dmz - и меня зарубает, хотя с других точек пингуется на ура:) В логах когда пингую вижу что пакеты дропаются.

В этой ситуации через Интернет не пойдет, адрес локальный. А локально ходить не разрешено правилами.

Не совсем уяснил - почему локальный? По идее -я с одного белого адреса пингую другой, какая разница что эти адреса на одной DFL?

А зачем Вам это надо-то?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ну в принципе то и не надо:) просто столкнулся с такой вот штукой и хочу понять почему не работает, хотя должно.

Не работает, потому работать не будет, поскольку пакет не выходит за пределы железки.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Когда пакет, проходит через DFL, DFL справляется по своей таблице маршрутизации куда его направить и "видит", что адрес назначения на нем самом и на пакет должен ответить он сам и никто другой. Это принцип работы всех маршрутизаторов.

По моему мнению, вы никак не сможете добиться желаемого вами результата.

Вы сможете только IP правилами разрешить отвечать на этот пинг.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Большое спасибо за разъяснение вопроса!

Хотя, если вам это интересно, можете попробовать добиться этого через PBR и дополнительные таблицы маршрутизации. Только в этих таблицах маршр-ии не должен фигурировать DMZ адрес.

Соответственно, для ответа на этот пакет тоже надо будет PBR и аналогичные таблицы, в которых уже не будет WAN адреса. Чем черт не шутит, вдруг получится.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.