сети изолированные полностью.
потенциально возможное межсетевое взаимодействие при необходимости будет реализовываться через VPN

Из lan2 в lan3, например, - и через VPN?
Если таких финтов будет несколько и трафик будет приличный, то моск у DFL'ки взорвется.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Две вещи сразу бросаются в глаза:

1. Масса, т.е. 4, маршрутов по умолчанию, т.е. основных (0.0.0.0/0). У вас основной только один - на wan. Сделайте ему метрику по умолчанию не 100, а, скажем, 80. Во избежание проблем в будущем. Он и должен остаться единственным. Остальные 3 основных маршрута ликвидируйте под корень. Всё это делается в настройках интерфейсов через нужную галочку. Соответственно, и шлюзы по умолчанию на тех интерфейсах не надо указывать.

2. Ужасное правило
allow any all-nets any all-nets all-services
Частая ошибка новичков. Удалите и больше не вспоминайте о нём.
Кажется, что оно все разрешает. Но оно сразу портит все NAT правила, которые обеспечивают выход в инет. И разрешает в том числе доступ между локальными сетями, чего быть, по вашей установке, не должно.

3. Гораздо менее критичное. У вас куча IP-правил, которые не нужны, поскольку перекрываются нижележащим
NAT lan all_lan_nets wan all-nets alltcp-udp

После исправления 1-2 инет должен вернуться.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

DFL-260e тут, судя по рекомендациям D-Linkа, с запасом раз так в пять. Если он способен обрабатывать около 100 ПК за собой, то тут на все три сети будет от силы 20 - 25. Ну может Андройдных смартфонов в гостевой сети еще пятачек...

Lan - основная. в ней основная работа, сетевые ресурсы. VPN в нее будет нужен однознначно. Также буден нужен проброс портов для доступа к паре железок. В дальнейшем планируется еще и подсчет трафика. Не исключено, что будет VoIP как внутри этой сети, так и через IPSec Lan-to-Lan на другую площадку.
Lan2 - дочерняя сеть (4 компа), из которой чисто теоретически раз в месяц может понадобиться перебросить небольшой объем данных. Теоретически потому, что проще на флешке перенести с этажа на этаж. Просто отрезать кусочек имеющегося канала проще и дешевле, чем тащить еще один канал от провайдера.
Lan3 - гостевой Wi-Fi, чтоб блуждающий по коридору народ мог посерфить новости, поболтать в контакте... не более того.

Строки с гейтвеем для Lan, VLAN2, VLAN3 убиваю вообще?
Задизаблить получается только для LAN... Собственно этой строки исходно не было, я ее сделал. Видимо зря.

Для WAN поставил метрику 80 - все завелось. Проверил на всех трех сетях.

Про его косячность в курсе. Сделано оно было намеренно в тот момент, когда разбирались с работой внешнего интерфейса. DFL сейчас подключен через Cisco 2821, которая обеспечивает проброс пула внешних "белых и пушистых" IP адресов через себя. После того как Cisco была настроена была сделана первичная настройка, результатом которой была одна LAN сеть с интернетом.
Соответственно указанное правило было задизаблено и снесено в самый низ.
Далее пошла настройка, увенчавшаяся провалом. После чего уже правило снова было активировано и поднято в топ.


Т.е. покуда не используются софтовые примочки (антивирук, контентная и URL фильтрация) нет смысла для сетей прописывать сервисы отдельно?


Этот пост пишу сидя за DFLем.
Текущий вид таблицы во вложении

1. Все лишние основные маршруты отключаются в настройках VLAN и Ethernet интерфейсов.

2. Если вы просто будете клиентам открывать выход в инет по всем службам достаточно двух правил

NAT all_lan all_lan_nets wan all-nets ftp-passtrought
NAT all_lan all_lan_nets wan all-nets all-services

где в сервисе all-services включена галка обработки ошибок (для трассировки)

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

YuriAM, большое спасибо.
С первой частью проблем разобрался.

Настроил все три сети.
Во вторичной и гостевой настроил шейпинг
Благодаря очень подробной инструкции из соседней ветки настроил VPN L2TP/IPSec сервер в основную сеть.
Решил сделать еще и PPTP сервер с доступом во вторичную сеть руководствуясь FAQ размещенного на DLink.ru и ранее использовавшейся мурзилкой но попытка подключения оканчивается "ошибкой 807".
Возможно ли, что L2TP и PPTP серверы одновременно не могут существовать?

Должны работать оба. противопоказаний нет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Работают. Я лично проверял .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

На сто500 раз вчера перепроверил правила, настройки PPTP сервера, авторизацию пользователя. несколько раз полностью перезагружал DFL - не работало.
Поднял PPTP сервер выше чем L2TP, также поднял правила, снова перезагружал - не работало.
Плюнул на все и пошел спать в два часа ночи.

Пришел на работу, попробовал... Почему-то работает.
Вот совершенно ничего не перенастраивал. Работает.
Правда пару раз выругался "ошибкой 734", но потом все начало работать: подключаться, маршрутизироваться в нужные мне сети.

Всем большое спасибо!

Продолжение следует.