NAT между private интерфейсами

[dmitry.a]

В инструкциях в интернете часто написано, что NAT включается, когда один из интерфейсов public (security-level):

Цитата

Данная команда позволяет создать статическую привязку локальных IP-адресов к глобальным. Если interface или network соответствует интерфейсу с публичным уровнем безопасности (в настройках интерфейса в CLI стоит параметр security-level public), то будет выполняться трансляция адреса назначения (DNAT). Если to-address соответствует интерфейсу с публичным уровнем безопасности, то будет выполняться трансляция адреса источника (SNAT).

источник.

Так вот, а что будет, если оба интерфейса private?

Имеем Home сегмент, который private изначально, и VPN интерфейс, который тоже сделан private. Два компьютера, первый в сети Home, второй за VPN. В итоге простое подключение первого к второму показывает, что адрес источника вовсе не адрес первого, а адрес роутера на VPN интерфейсе.

Собственно вопрос. Это так и должно работать или это баг в прошивке роутера?

[bzzztomas77]

нужно отключать дефолтный nat (что-то типа no ip nat .. -- смотрите какой он командой включен в конфиге) и включать его только для наружного интерфейса (static Home <ISP>) - проверено на кучке девайсов уже.