Нужно между сетями/сегментами без nat, в интернет с nat

[ConstK]

Добрый день. 

На Keenetic 1810 настроено, помимо Домашней и Гостевой, несколько сетей vlan: LAN15 (192.168.15.1/28), LAN16 (192.168.16.1/28). В LAN15 имеется сервер к которому обращаются устройства из домашней сети, из LAN16 и устройства подключающиеся по VPN (wireguard). Через firewall настроен доступ по нужным портам к серверу. Все работает, доступ есть.

1. Поскольку доступ в интернет необходим из всех описанных сетей, то опция Использовать NAT включена во всех сетях.  И, соответственно, на сервере отображается подключение от шлюза (192.168.15.1), а не IP устройства от которого идет соединение. Как настроить чтобы между сетями организованными на роутере отсутствовало натирование, а для Интернета использовался nat?

2. Для доступа из LAN16 к серверу в сети LAN15 приходиться прописывать на межсетевом экране ACL для исходящего из LAN16 трафика. Предполагаю, что это неверно?

Изменено 16 сентября, 2024 пользователем ConstK
исправление ошибок

[Leshiyart]

нужно сделать ip static BridgeX ISP (где бридж сегмент с клиентами, ISP провайдер), после no ip nat BridgeX

[ConstK]

Странная ситуация. Здесь пишут что есть три типа 

Цитата

На интерфейсах интернет-центра предусмотрены настройки уровня доступа (security-level), которые определяют уровень безопасности (логику работы сетевого экрана):

— private (частный, локальный);
— public (внешний, публичный);
— protected (защищённый, локальный).

Cхему разрешённых и запрещённых направлений передачи данных в интернет-центре серии Keenetic можно представить следующей диаграммой:

По умолчанию Keenetic принимает сетевые подключения только с интерфейсов private. Интерфейсам типа private разрешено устанавливать соединения в интерфейсы public, и на само устройство для управления и доступа к сервисам, работающим на интернет-центре. Для интерфейса гостевой сети закрыт доступ для управления интернет-центром и к его сервисам.

Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private

Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.

Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.

С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра.

посмотрел конфиг

Цитата

        "interface Bridge4",

        "    description \"srv v inet 15\"",

        "    include GigabitEthernet0/Vlan15",

        "    include WifiMaster0/AccessPoint3",

        "    include WifiMaster1/AccessPoint2",

        "    mac access-list type none",

        "    security-level protected",

        "    ip address 192.168.15.1 255.255.255.240",

        "    ip dhcp client dns-routes",

        "    ip access-group _WEBADMIN_Bridge4 in",

        "    ip name-servers",

        "    up",

        "!",

        "interface Bridge5",

        "    description \"tv 16\"",

        "    include GigabitEthernet0/Vlan16",

        "    include WifiMaster0/AccessPoint2",

        "    include WifiMaster1/AccessPoint3",

        "    mac access-list type none",

        "    security-level protected",

        "    ip address 192.168.16.1 255.255.255.240",

        "    ip dhcp client dns-routes",

        "    ip access-group _WEBADMIN_Bridge5 in",

        "    ip name-servers",

        "    up",

так почему при включении NAT он отрабатывает для интерфейсов типа protected (защищённый, локальный)?

[ConstK]

Вы имеете ввиду эту возможность команды ip static?

Цитата

... возможности настройки команды ip static...

Теперь можно использовать ее для включения NAT не только между интерфейсом и IP-адресом, но и между двумя интерфейсами. Например:

ip static Home ISP

Это будет работать, когда используется security-level public, хотя бы на одном из интерфейсов, чтобы работал SNAT, как указано в начале статьи.

Если interface или network соответствует интерфейсу с публичным уровнем безопасности (в настройках интерфейса в CLI стоит параметр security-level public), то будет выполняться трансляция адреса назначения (DNAT)

я правильно написал

ip static Bridge4 GigabitEthernet1

ip static Bridge5 GigabitEthernet1

no ip nat Bridge4

no ip nat Bridge5

?

keen.txt

[ConstK]

8 часов назад, Leshiyart сказал:

нужно сделать ip static BridgeX ISP (где бридж сегмент с клиентами, ISP провайдер), после no ip nat BridgeX

Посмотрите мое сообщение выше

[Leshiyart]

15 часов назад, ConstK сказал:

я правильно написал

ip static Bridge4 GigabitEthernet1

ip static Bridge5 GigabitEthernet1

no ip nat Bridge4

no ip nat Bridge5

?

system configuration save не забыли? так как в прикреплённом конфиге нет этих изменений

[ConstK]

1 час назад, Leshiyart сказал:

system configuration save не забыли? так как в прикреплённом конфиге нет этих изменений

Спасибо большое! Все что хотел получилось.