Добрый день, помогите пожалуйста разобраться.
Настраиваю dfl-260e, где было создано несколько виртуальных локалок.
Имеется vlan3 и vlan9. Не получается настроить связь между ними.

Что сделано:
Vlan3 ip192.168.102.1, gw192.168.0.2
Vlan9 ip192.168.116.10, gw192.168.116.20

По логике вещей я понимаю, что из одной подсети (vlan3) комп отправляет широковещательный запрос, содержащий ip адрес из другой подсети и должен получить ответ от шлюза по умолчанию, после чего комп отправляет пакет с искомым ip и маком шлюза (vlan2 gw), в адрес самого шлюза. Для этого я добавил в vlan3 ARP с адресом шлюза и маком 00-00-00-.... Добавил в правилах allow all_services внутри vlan3. И уже на этом этапе проблема - шлюз по умолчанию не пингуется, хотя что ему мешает пинговаться? ARP есть, разрешение внутри подсетки есть.

Далее я понимаю что vlan2_gw должен обратиться к (core?) чтобы понять что у него есть интерфейс vlan9 и отправить широковещательный запрос туда, как это правильно реализовать? Добавить в main маршрут core vlan2_gw - - 0 No ?

Что вообще я делаю не так?
Благодарю за помощь

Про то, что соответственно со стороны vlan9 должны быть аналогичные настройки я понимаю, но вообще я либо перемудрил, либо недомудрил

они пренадлежат интерфейсам DFL или это другие железки ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Владимир, все интерфейсы на одной железке. Вот сейчас получил ответы от шлюза и адреса vlan, добавив правило разрешающее все сервисы в core, я правильно двигаюсь?

Проделал аналогичное со второй подсетью, связь появилась! Если это безграмотная настройка то подскажите плиз как это сделал правильно. Понятное дело, что правило разрешающее all_services будет отредактированы род конкретные нужды

ну тогда показывайте что сделали , а то телепатически способности по утру еще спят

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Глубочайшие извинения, картинки подгрузить не смогу, ибо стою с телефоном в серверной, инета в сетке нет
Постараюсь рассказать без путаницы. Вланы назову vlan1 и vlan2

Итак.
1)В vlan1 добавил ARP vlan1_gw
2)Добавил main route
core vlan1_gw - - 0 No
3) Добавил правила
а) allow vlan1 core - all_services
б) allow vlan1 vlan2 - all_services

все маршруты и правила по умолчанию не трогал
Для vlan2 проделал аналогичные операции, вроде все работает

Но закрадывается подозрение что это либо делается не так, либо может я что-то лишнее сделал. Не уверен я короче

я делал не так .
создавал Vlan ( прописывал там параметры) . делал теги на нем (для коммутатора), или можно выделить порт на DFL .

делал группу интерфейсов lannet1 = vlan9+vlan3+lannet
и группу адресов из всех инетерфейсов
и правилo
allow lannet1 \ lan_grp lannet1\lan_grp all-service

и все работает .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Вланы использую тегированные, так как их будет больше, чем портов на этом dfl.

Ваш метод Это без Arp'ов? Вы при этом сами находились в lannet?
Попробовал сделать так, без арпов, без маршрутов, просто группы, нет связи между lannet vlan3 и vlan9..

Если так много vlan-ов, мне кажется, будет логичнее их маршрутизацию возложить на более производительное и подходящее для этого устройство, чем DFL-260E.

Т.к. его производительность 150 MБит/с, что будет узким местом в локальной сети. И что не менее важно, локальный трафик будет отнимать ресурсы DFL, которые по логике нужны для обеспечения доступа в инет.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

К сожалению другого железа нет и не предвидится. По факту будут: 0) native 1)влан для управления сетевым оборудованием, 2)влан для админа, который будет иметь доступ ко всем остальным, 3) влан для охранки, скуд, видео 4) влан новых юзеров, некоторые из которых будут выпущены в инет 5) влан для существующей сети, некоторые пользователи которой так же будут выпущены в сеть.
По моим представлениям дфл будет нагружаться только от действий в админском влане и от хождений в инет. Для инета подводится экономный канал 7мбс. Все останые движения в сети в пределах одних бродкаст доменов

Владимир, кстати с добавлением arp'ов шлюзов в аланы и Ваш метод действительно работает

я ни когда не добавлял ARP пы .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Странно, но без них у меня этот метод не работает, в любом случае, оставлю ваш метод за рабочий вариант, как логически более простой. Благодарю за помощь!

не городите ерунду - там все без арпов работает , настраивается за 10 минут

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку