NAT для диапазона адресов

[SteelWOLF]

Добрый день!

Имеется схема локальной сети из 3 офисов (см. рис. Вариант 1) объединенных через VPN. В данной схеме реализована прозрачная маршрутизация между офисами без NAT. В варианте, когда каждый офис подключен к Интернет (Вариант 1) работает и прозрачная маршрутизация, и доступ в Интернет  (за счет ip static Home ISP) .

Планируется модернизировать схему подключения офисов (см. рис. Вариант 2). Теперь офисы между собой будут связаны по оптике через отдельный сегмент Bridge1. Реализована так же прозрачная маршрутизация без NAT между офисами, т.е. внутри сети все работает без NAT.  Необходимо предоставить доступ в Интернет двум офисам через главный офис и сохранить прозрачную маршрутизацию, и тут возникают проблемы... Если прописать на Роутере А ip static Bridge1 ISP - этого недостаточно для трансляции сетевых адресов сетей за Роутерами Б и В, соответственно  доступа в Интернет у них нет. Прописать правила NAT для диапазона адресов - невозможно, команда ip static 192.168.60.0. 255.255.255.0 ISP отрабатывает как переадресация портов, а не как NAT.

Возможно ли дополнить команду ip static дополнительной опцией в конце, например nat_enable: ip static 192.168.60.0 255.255.255.0 ISP nat_enable, чтобы при пересылке пакетов с подсети 192.168.60.0 на итерфейс ISP срабатывал NAT?

Роутере в тестовом стенде: Роутер А - KN-1311, Роутеры Б и В - KN-1112, версия ОС - KeeneticOS 4.2.6

В реальности офисов в схеме больше, но в тестовом стенде использовал 3. Интересует именно алгоритм построения сети по схеме Вариант 2 с прозрачной маршрутизацией без NAT внутри сети и доступом в Интернет через главный офис.

[Le ecureuil]

Какой security-level у Bridge1? Это влияет на NAT. Попробуйте сделать его public.

[SteelWOLF]

Изначально на Bridge1 был security-level protected. Пробовал менять на public на всех устройствах во всех вариациях (Роутер А, Б, В  - public; Роутер А -public, Роутеры Б,В - private; Роутеры Б,В - public, Роутер А - private  и т.д.) - результат всегда один: либо есть доступ с роутеров Б,В в Интернет, но нет прозрачной маршрутизации на реальных адресах без NAT, либо наоборот.

Роутеры Б и В должны передавать по Bridge1 реальные адреса подсетей без NAT, а NAT должен обеспечивать роутер А для подсетей роутеров Б и В и только тогда,  когда они пытаются выйти на внешний интерфейс ISP роутера А, а во внутренней сети все должно работать на реальных адресах подсетей. Но такой вариант в текущем варианте ip static невозможен.

[SteelWOLF]

Нашел как можно решить данную задачу в текущем исполнении. Для этого нужно будет создать VPN туннели между роутерами А и Б, А и В. Пакеты, которые должны быть с реальными адресами, маршрутизируем через PPTP туннель без NAT, а пакеты в Интернет - маршрутизируем через Bridge и используем NAT. Собрал макет сети - все работает как нужно. Костыль конечно, но другого варианта реализации не нашел. Наглядно будет выглядеть так: