Как отключить NAT между private-интерфейсами

[Nailer]

Добрый день.

Не понимаю тонкости настройки NAT на кинетике (KN-2710, 4.2.6)

Есть в настройках два интерфейса - Brige0 и Brige3. Оба имеют тип security-level private. На обоих включен NAT и в сторону интерфейса public с интернетом все прекрасно работает.

Но одновременно работает и NAT между private интерфейсами. Хотя по общесетевой логике и по мануалам самого кинетика на "смежную" команду ip static вроде бы NAT делается при прохождении трафика между интерфейсами public-private, а не private-private. Прямое отключение nat командой no ip nat эффект устраняет.

Как должен работать nat между интерфейсами private? Есть ли возможность отключить его, не отключая трансляцию между public и private?

[vasek00]

https://help.keenetic.com/hc/ru/articles/360001434079-Настройка-правил-межсетевого-экрана-из-командного-интерфейса

Цитата

По умолчанию Keenetic принимает сетевые подключения только с интерфейсов private. Интерфейсам типа private разрешено устанавливать соединения в интерфейсы public, и на само устройство для управления и доступа к сервисам, работающим на интернет-центре. Для интерфейса гостевой сети закрыт доступ для управления интернет-центром и к его сервисам.

Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private

Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.

Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.

 

 

[Nailer]

Проверил, связь есть, но на наличие NAT это не влияет. Как натилось между приватными интерфейсами, так и натится.

Ну и в принципе isolate-private перебивается наличием acl на интерфейсе с permit any any, как у меня и было сделано.

Напрямую NAT отключается только весь. А надо отключить между private-интерфейсами.

Изменено 18 марта пользователем Nailer

[Leshiyart]

12 часов назад, Nailer сказал:

не отключая трансляцию между public и private?

ip static Bridge0 ISP
ip static Bridge1 ISP
no ip nat Bridge0
no ip nat Bridge1

[Nailer]

Спасибо, проблему решил.

Осталась непонятнка с интерфейсом WireGuard - на нем туннели между объектами и сервер на соседнем объекте показывает, что я пришел с адреса интерфейса Wireguard. Как будто NAT все равно работает. Хотя нет ни ip nat, ни ip static между Brige0 и Wireguard. Оба интерфейса (Brige и Wireguard) private.

[Leshiyart]

10 минут назад, Nailer сказал:

Спасибо, проблему решил.

Осталась непонятнка с интерфейсом WireGuard - на нем туннели между объектами и сервер на соседнем объекте показывает, что я пришел с адреса интерфейса Wireguard. Как будто NAT все равно работает. Хотя нет ни ip nat, ни ip static между Brige0 и Wireguard. Оба интерфейса (Brige и Wireguard) private.

ну так и для него надо сделать no ip nat Wireguard0