Freesco, NND, CDN, EOS

Witam

Używam zewnętrznego routera do obsługi dwóch łącz WAN w load balancingu. Router ten robi NAT-a więc pomyślałem że warto by zrezygnować z maskarady na firewallu (po co niepotrzebnie dwa razy maskować)
Router ten ma zdefiniowaną sieć LAN (ip 192.168.20.1) i spięty jest z eth0 routera NND (ip 192.168.20.2) natomiast po stronie LAN-u w routerze NND jest sieć 192.168.10.0/24.
Zrobiłem więc routing na routerze zewnętrznym do sieci 192.168.10.0/24 przez bramę 192.168.20.2 - jest to port eth0 w routerze NND i teoretycznie powinno wszystko działać. Mogę pingować do routera (192.168.20.1) z komputera w sieci 192.168.10.0 ale nie ma internetu.
Prawdopodobnie trzyma coś na firewallu. Używam firewalla :
firewall 0.1-2004.12.27 Zciech (poprawki Czerwo) - ale nie mam pewności czy dobrze wyłaczyłem maskaradę zbobiłem to tak że zaheszowałem linie w których następuje maskarada (po komentarzu #i maskujemy) :

#maskarada dla wybranych ip
grep "^" /etc/iptables/ip_masq | grep -v "^#"|grep [0123456789] |while read IP nazwa ; do
$i -A INPUT -i ! $EXTIF -s $IP -j ACCEPT
$i -A FORWARD -i ! $EXTIF -s $IP -j ACCEPT
# i maskujemy
#if [ $NETWORK = 1 ]; then
#$i -t nat -A POSTROUTING -o $EXTIF -s $IP -j MASQUERADE
#fi
done

(heszowałem też wszystko - bez zmian)
Być może powinienem jeszcze w takim przypadku coś dopisać do firewalla ?
Może ktoś z was miał już taki problem żeby coś podpowiedzieć jak uniknąć podwójnej translacji adresów - trzeba by tak skonfigurować firewalla żeby chodziło wszystko z wyjątkiem maskaraady.
Proszę o pomoc.

Raczej nie winiłbym firewala.

Sprawdź czy w nnd masz dobry adres bramy 192.168.20.1

Sprawdz warunki maskarady w routerze sprzetowym, byc może maskuje tylko adresy 192.168.20.0/24 a adresy 192.168.10.0/24 nie sa maskowane

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Interfejsy są skonfigurowane następująco :
LAN routera zewnętrznego: 192.168.20.1/16
WAN (eth0) routera NND 192.168.20.2/24 brama 192.168.20.1
LAN (eth1) routera NND 192.168.10.1/24

Routing na routerze zew. do sieci 192.168.10.0 przez bramę 192.168.20.2

Podpinając się do LAN-u routera zewnętrznego z komputerem o następujących ustawieniach 192.168.10.2/24 brama 192.168.20.1 jest OK więc router natuje podsieć 192.168.10.0, podpinając się natomiast do LAN-u routera NND z ustawieniami 192.168.10.2/24 brama 192.168.10.1 nie ma internetu. (nie ma pingu do 192.168.20.1 jest natomiast do 192.168.20.2 ???)

NIe wiem już gdzie szukać - czy w routingu na serwerze NND coś trzeba dołożyć ???
Czy wyłączając maskaradę na firewallu ruch na zewnątrz nie bedzie przechodił czy trzeba coś dopisać ??