OpenVPN клиент и NAT

[alx]

Помогите победить NAT на интерфейсе OpenVPN!

Топология достаточно стандартная. Есть обычное подключение к интернету по проводу. Поверх него OpenVPN для доступа к корпоративным ресурсам. Удаленный OpenVPN сервер анонсирует в мою сторону необходимые маршруты (после подключения я вижу их в закладке "Маршрутизация"). При доступе к корпоративным ресурсам (TCP, UDP, ICMP) мой адрес транслируется в адрес интерфейса OpenVPN, НО ПРИ ЭТОМ:

1. Доступ из корпоративной сети к домашней (за Keenetic с адресацией на Bridge0, та которая Home) работает. Я свободно пингую и захожу по ssh на свои устройства из корпоративной сети без настроек проброса, хотя по логике домашние устройства должны быть "скрыты" за NAT.

2. Если я строю GRE из домашней сети в корпоративную, без обертки в UDP (без NAT Traversal), то Source адрес туннеля со стороны домашней сети не транслируется. При включении NAT Traversal - Source адрес туннеля со стороны домашней транслируется в адрес интерфейса OpenVPN. При этом и в том и в другом случае (и с честной маршрутизацией и с NAT) туннель живой, трафик по нему бегает в обе стороны. 

Но мне нужно что бы адреса не транслировались!

Пробовал полечить это всем что мог найти в руководствах и на форуме в разных комбинациях:

• no isolate-private
• interface OpenVPN0 security-level private
• настройка "Межсетевой экран" на пропуск трафика между домашней и корпоративной адресацией на обоих интерфейсах "Домашняя сеть" и "OpenVPN"
• установка и снятие галки "Использовать для выхода в Интернет" в настройках OpenVPN клиента

И ничего не помогло. 

Как это можно полечить? Или если лечения нет и это баг как правильно его зарепортить? 

Все обнаружено на Keenetic Extra II Версия ОС 3.4.3

Изменено 30 мая, 2020 пользователем alx

[Werld]

Честно говоря, не совсем понятно чего вы хотите добиться, то у вас openvpn, то вдруг gre. Но если все же вам  "нужно что бы адреса не транслировались!", то попробуйте отключить глобальный нат: no ip nat Home  

Далее включаем обратно нат, но только для интерфейсов, которым он нужен, командой вида: ip static Home ISP - включает трансляцию адресов домашней сети Home в о внешний интерфейс ISP. Если у вас подключение к провайдеру через pppoe, к примеру, то тогда еще команда:  ip static Home pppoe0 ит.д включаем нат отдельно только через нужные интерфейсы.

[alx]

@ werldmgn

Спасибо, это именно то что нужно! Видел эту секцию, но меня смутило ее описание "add one-to-one address translation rule" - и я не стал смотреть внутрь. Обычно под one-to-one translation подразумевается Inside IP <=> Outside IP. 

А GRE это от безысходности. Мне нужны были исходные Source IP, было свободное время... )) Раз логику Кинетика я не понял - начал сооружать костыли вокруг него.