Есть оборудование:
1. D-Link DFL-260E
2. Cisco SF-300

На циске настроены вланы с привязкой по портам (vlan11, vlan12, vlan13, ...)
порты переведены в режим access, на одном из портов (trunk) висит сервер (192.168.10.5)
этот порт входит в состав всех вланов.

вот схема подключения:


Идем дальше.
По временной схеме один из компов работает через промежуточный роутер (dir300), который в свою очередь подключен в порт dfl, а значит является членом сети lan (как и сервер).

Настроил ip-правила для всех vlan для выхода во внешку (подобно дефолтовым), но не могу понять как открыть доступ для сервера.
по этой схеме сервер пингуется только с компьютера, входящим в состав сети lan, а из vlan11 пинг не идет:


Пробовал создавать такие правила:


но ничего не работает.
Логи:



Помогите разобраться с правилами

СРОЧНО ВЫКИНУТЬ DIR 300 !!!!!! или переводить его в режим тупого свича выключив DHCP и переткнув все в LAN а WAN заклеить скотчем !
и учить мат часть ?! зачем вам nat на пути к серверу ?! вы сами то в свои картинки смотрели ?!
поэтому ВАШ сервер и не пингуется со стороны WAN $-)

кто маршрутизирует сети ?! DFL или циска

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

да причем тут dir300? он как раз не мешает, если я в 5й порт воткну комп ПК1, то он соответственно получит ip от dhcp-сервера на dfl (а не от dir-300) и будет также пинговаться сервер.
Дело в том, что комп ПК2 (10.0.11.20) не видит сервер (192.168.10.5). Маршруизировать по идее должен dfl, а циска разве умеет (это же не catalyst)?

у меня на dir300 висит бухгалтерия (чтобы её никто не видел) - но это временно решение, пока до конца не разберусь с вланами, потом его выкину

сервер как раз ПИНГУЕТСЯ с ПК1

показывайте настройки VLAN на DFL . и таблицу MAIN
если маршрутизацией занимается DFL там ни чего сложного нет .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

вот все 8 vlan:


вот вся таблица main (все маршруты созданы автоматически):


и еще адреса:

Правила . Выложите ... а вообще для тестов соберите все свои влан и лан нет в одну группу и сделайте правило типа
Allow any/all-local-net any/all-local-net all-service

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

вот этот набор правил был создан автоматически:


подобно этим правилам я создал такой же набор для всех вланов:


Добавил дополнительно правила:

ничего не поменялось

yuriknsk, а у тебя DIR-300 выпускает ПК1 по NAT или настроен как маршрутизатор?

iura3, как маршрутизатор, когда-то он был головным для организации, сейчас над ним поставил dfl, а этот переехал в бухгалтерию.
Но давайте забудем про этот dir 300, он мне не нужен, мне нужен доступ к серверу из вланов, а не только из lan

yuriknsk, попробуй создать отдельные правила:
allow all_vlans --> lan
allow lan ---> all_vlans

ничего.
вот логи после применения правил

Кстати, Server обязательно должен висеть на trunk'e? Если да, то тогда логичней было бы выдать ему IP во всех VLAN или воткунть его в LAN порт на dfl. Лично я бы попробывал создать правила описанные выше и воткунть сервер в dfl. У меня был не очень хороший опыт с "trunk"-ом на старом AlliedTelesys (он там по-другому называется) и dfl-860E. DFL страшно глючил на пакетах из разных VLAN приходящих с порта AlliedTelesys GS950/16.

а если он будет access то будет принадлежать только одному влану, не так ли?
сейчас попробую перебросить сервер на dfl

yuriknsk, icmp пакеты это вобще уровень IP и на последнем хопе он вообще использует arp для определения хоста. Лично меня бы серьёзно напрягла схема, где сервер не будучи сам в VLAN сидит на порту с транком. Лично я бы постарался или бы транк убрать или бы vlan-ы на на самом адаптере на сервере прописать. Там, кстати, если vlan-ы прописать, то ты избежишь bottle neck из-за того что пакеты будут ходит напрямую, а не по кабелю идущему в DFL.