Варіант нумер раз. Тут все просто до неподобства - пишемо як зазвичай таблицю маршрутизації, в сенсі за смаком. А трафіком управляємо через правила для трафіку - не забуваємо вказати протокол (або групу) і говоримо, що інтерфейс призначення жодного разу не Any, а зовсім навіть Wan1, Wan2 або взагалі будь-, який нам потрібен. На підставі цього правила трафік піде тільки по тому інтерфейсу, для якого воно дозволено, за всіма іншими вказаний протокол не піде, бо не дозволено.
Варіант другий трохи більше клопіткий і особисто я його використовувати не рекомендую. Якщо в роутері є зайвий фізичний дірка, простіше поставити в середину свитч і розвести сітки з кількох інтерфейсів. Тим більше, що купити керований свитч нині не проблема, а виділяти порти для «розгалуження» зовнішнього кабелю зручніше саме на вже наявному світче. Але це ІМХО, і не є незаперечним фактом.
Щоб використовувати додаткові таблиці маршрутизації і правила до них в повний зріст, потрібно багато планувати і мати велику розумну голову :) Моє рішення - дуже примітивне, технологія може куди більше.
Перед рішенням номер два, трохи теорії. Таблиці маршрутизації самі не вирішують нічого рівним рахунком. Вони лише вказують в яку мережу можна потрапити, якщо використовувати такий-то шлюз і такий-то інтерфейс. Усе. Опціонально, можна вказати IP, яким буде представлятися роутер. Все вирішують правила маршрутизації. Для вирішення другого завдання доведеться, за великим рахунком, палити з гармати по горобцях - ефективно, але гвинтівки все одно ніхто не видасть.
Перевіряти логіку можна потрібно. Зробити це можна розгорнувши в правилі маршрутизації напрямку пакетів (працювати з вихідними пакетами) і поміняв місцями пряму і зворотну таблиці. А в якості протоколу в правилі вказати HTTP. Благо, зараз сервісів «вгадай мій IP» в інтернеті відро. Навіть якщо десь косяк в налаштуванні (я набрехав ненароком, наприклад), така перевірка виявить як воно реально працює.
У шлях, чекаю відгуків
Або я тугий або ДФО тугий.
Для більшої гнучкості встромив в маршрутизатор зайві ип і шлюз до нього
wan_ip 178.19.242.225 \ 255.255.255.248 \ wan_gw 178.19.242.230
-
www-srv \ sat - (any-all \ core-wan_ip) http \\ SAT - www-srv (192.168.11.10)
www-srv \ allow (any-all \ core-wan_ip) http \\
-
www-srv в дмз порту, через дхцп отримує по статичної записи свій ип
додавав
www-srv \ allow (wan-www_srv \ any-all)
хоча повинен йти трафік порт - він не прокидати ...
як так ?
Ну, RDP зовні працює. Пароль запитує, на сертифікат скаржиться. Або воно з локалки не працює?
До речі - там в таблицях додаткових опцій точно не потрібно?
Чи зможете потім заглянути на роутер і перевірити мої настройки які я ще не застосував?
Так розібрався, фішка була в місці розташування првіла. Групи ДМЗ перетягнув наверх, лан опустив вниз і все запрацювало. Залежно такої не зрозумів. Тепер буду пробувати з маршрутизацією.