Всем здравствуйте!
Есть небольшая заморочка - никак не могу понять в чем дело. Работе не мешает, но понять хочется:)
В наличии DFL-260 - прошивка 2.40. На девайсе следующий конфиг:
wan - ppoe от ростелеком
dmz - ppoe от ростелеком
На lan - сделаны три port based vlan - 60,70,80 (это соотв-но 3,4 и 5 порты коммутатора)
vlan 70 - это третий провайдер МТС (static ip) (приземлен на lan интерфейс)
Все три провайдера работают одновременно.
vlan 60 - сеть вида 192.168.60.0/24 - эта сетка ходит в нет через провайдера МТС
на LAN - сетка вида 10.70.101.0/24 - эта сетка в нет не ходит, настроен проброс портов только на входящие соединения с удаленного оборудования.
vlan 80 - 192.168.80.0/29 - кабель уходит в первый порт микротик 951ui-2HnD (он настроен как wan для микротика - адрес 192.168.80.2) микротик работает как хот-спот и раздает wi-fi - vlan 80
vlan 80 ходит в нет через провайдера МТС
второй порт на микротике имеет адрес из подсети 192.168.60.0/0 (vlan 60) - адрес его 200. Адресация во vlan 60 статическая (dhcp нет). Сделана виртуальная точка доступа. что бы ноутбуки могли цепляться по воздуху к сети 192.168.60.0/24 (конектятся без проблем)
Соответственно есть основная таблица маршрутизации и дополнительная.
Настроены правила (allow) для доступа из lan (10.70.107.0/24) во vlan 60 и vlan 80.
Так вот: первый порт микроитика (адрес 192.168.80.2) пингуется прекрасно, через него как раз и управляется через winbox микротик
А вот второй порт с адресом 192.168.60.200 - не пингуется! Вот это меня и напрягает.
В логах при пинге - Default_Access_Rule (Это означает, что маршрутизация сети источника не настроена на lan-интерфейс согласно faq)
С других ПК подсети 192.168.60.0/24 микротик отлично пингуется.
Если необходимы скрины для подробного анализа - пишите, выложу.

это означает, что не нашлось подходящего правила для пакета и (в простейшем случае) его просто надо добавить в соответствии с тем что написано в дропе (источник, назначение, порт)
схемка поспособствовала бы пониманию (и на ней путь по которому пинг не проходит)
на arp ругани нет на dfl и на микротике?
я так понял, два шлюза соединены двумя проводами
обычно затык в таких схемах - когда в один конец пакет идет по одному пути, а обратно пытается по другому

Правило как раз есть:
источник: ПК из подсети LAN
интерфейс источника LAN
сервисы - all service
назначение - VLAN_60_NET
интерфейс назначения VLAN 60
тип правила - allow
выкладываю схемку.
на arp DFL не ругается. Микротик в логах тоже ничего не дает.

а что в дропе написано?

если бы вместо микротика был еще один дфл, то на нем пришлось бы (при такой схеме) настраивать правило маршрутизации и доп. таблицу, что бы приходящий пинг, уходил обратно через нужный интерфейс, иначе бы так и работало - по умолчанию на пинг отвечал бы только тот интерфейс, что на маршруте 0.0.0.0
на микротике есть аналогичные настройки?
если нет, то предполагаю что он шлет ответы через другой интерфейс (тот что на маршруте 0.0.0.0), о чем на дфл дропы и говорят
при этом для микротика все будет нормально, а дфл будет ругатся на пакеты приходящие с другого интерфейса

А вот и логи:
Time: Jan 04 15:31:04
IP: 10.70.101.50 - адрес DFL
Host:
Facility: local0
Priority: warning
Tag: [2017-01-04 15:31:10] FW
Message: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Access_Rule recvif=VLAN80 srcip=192.168.60.200 destip=10.70.101.107 (адрес с ПК с которого пингуется микротик) ipproto=ICMP ipdatalen=40 icmptype=ECHO_REPLY echoid=25679 echoseq=37992

А вот лог если я отключал 80 влан на DFL
после отключения влан80:

Time: Jan 04 17:07:07
IP: 10.70.101.50
Host:
Facility: local0
Priority: warning
Tag: [2017-01-04 17:07:13] FW
Message: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Access_Rule recvif=lan srcip=192.168.60.200 destip=10.70.101.107 ipproto=ICMP ipdatalen=40 icmptype=ECHO_REPLY echoid=25679 echoseq=15477

интерфейсы в дропе какие?
сотлбец Src/DstIf

вот оно
надо объяснить микротику, чтоб слал данный трафик через vlan60

На самом микротике нет vlan 60 - и он о нем ничего не подозревает.

а это вообще, через лан возвращается трафик от микротика (в принципе можно просто правило поднять с этими параметрами), но что то напутано в проводах

ну тогда он и будет слать трафик (сети которого нет в его таблице маршрутизации) через свой маршрут 0.0.0.0, т.е. как я понимаю, это - vlan80

То есть на микротике нужно банально прописать маршрут и шлюзом указать адрес DFL?

как на микротике надо сделать не подскажу
или добавить маршрут и интерфейс, или через механизмы пбр

про дфл, по схеме и логам, все расскажем

цель такой закольцовки то какая?

кстати у вас микротик так же подключен проводами к дфл через лан интерфейс, об этом говорят логи при отключенном vlan80

Цель такого деяния такая:
через vlan 80 (это 5 порт на DFL, он соединен напрямую кабелем с 1 портом микротика) ходят в интернет пользователи которым раздается инет через wi-fi (хотспот) с микротика. Им там разрешено только http и https.
Для этого на микротике сделана подсеть на 16 адресов - организован доступ в интернет дежурному персоналу (дабы не скучали на смене и могли посидеть в соцсетях да кинишку поглядеть:)) )
Второй порт задействован как радио удлинитель для сети VLAN 60 (192.168.60.0/24 - это рабочая сеть офиса) - есть три ноутбука, которые должны цепляться к рабочей сети по воздуху.
(из за нехватки финансирования пришлось выдумать такое вот решение - оно вполне рабочее, просто меня вот гложет отсутствие пинга, да и сбор статистики по SNMP хочу прикрутить)
На схеме видно как зацеплены между собой микротик и DFL.