mane DMZ/duplog nata su:
1. tvoj ruter ne vidi pravu WAN ip adresu na svom wan interfejsu, to moze da zbuni neke servise na ruteru koji treba da znaju koja je (kao sto je receno, DDNS i UPNP, aktiviranjem moda "get ip address externally or via web service" ili tako nesto, da koristi skriptu/http zahtev da bi pronasao koja mu je WAN ip adresa, onda radi)
2. ISP-ov ruter i dalje procesuje svaki paket koji prolazi kroz njega. tako da ako ima neki limit na broju konekcija, totalni broj paketa u sekundi zbog slabog CPU-a, ili radi nesto cudno kao npr. ne postuje pravu vrednost koju treba da ima TCP timeout nego je fiksira na 15 minuta (ovaj problem sam ja imao sa technicolorom kada sam imao sbb, verovatno jos nije popravljeno, to cini da na primer ako imas putty SSH sesiju ka nekom serveru ili mysql sesiju itd, bilo sta sto ne prenosi pakete duze od 15 minuta, kada krenes ponovo da kucas/queryujes preko te konekcije, nece da radi nego ce izbaciti connection reset i morati ponovo da se konektuje, ovo moze da utice i na servise koji imaju idle konekciju da bi ti dali alert... kao notifikacije na telefonu... workaround je da stavis da ima neki keepalive svaki minut, ako je moguce u programu), to ne mozes da izbegnes.
^ zbog ovoga, najbolje je podesiti firewall na ISP-ov ruteru na najslabiju/off vrednost, da bi sto manje manipulisao pakete.
kod bridge moda tvoj ruter je "direktno" (tj. ISP-ov ruter se ponasa samo kao L2 uredjaj, aka switch) povezan sa ISP-ovom mrezom, i time ima WAN IP koji ti ISP daje, a ne neki privatni/manipulisan. posto ISP-ov ruter samo radi hardversko kopiranje paketa sa ethernet porta na coax port, ne trosi svoj CPU/nema limite na broju paketa po sekundi, niti moze raditi nikakve cudne manipulacije sa njima (ovo je JEDINI mod rada starijih kablovskih modema, CPU im sluzi samo za registraciju na mrezu/povremeno odrzavanje i pokazivanje web interfejsa).
u svakom slucaju, ako je tvoj ruter mocan, imas vise prednosti koriscenjem njega kao glavnog rutera (iako mora preko duplog nata) nego mana, ali DMZ je i dalje samo hack/workaround ako ne mozes da namestis/dobijes pravi bridge mod (u stvari, originalna funkcija DMZ-a je da u njega stavis neki server koji ionako ima svoj firewall, da se ne bi baktao sa otvaranjem istih portova na 2 mesta).
Nisam hteo da otvorim SVE portove prema asusu 0.2, ali sam DMZ nije automatski propustio. Mucio sam se sa VPN odesavanjem dok nisam provalio da moram i na cisco da kopiram fw tabelu. Ne znam do cega problem.
ako ti ISP ruter ne otvara portove "po defaultu" prema tvom ruteru, onda nisi stavio DMZ kako treba ili nije aktivan. u stvari, DMZ treba da otvara portove koje i NE MOZES da otvoris preko normalnog port forwarding interfejsa, kao na primer GRE/PPTP L3 servise (koji nisu ni TCP ni UDP, sto su jedine opcije kod port forwardinga)
da li si stiklirao IPSec passthrough/VPN passthrough opciju ako ima? to treba
