Jump to content
  • 0

Нужно между сетями/сегментами без nat, в интернет с nat


ConstK

Question

Добрый день. 

На Keenetic 1810 настроено, помимо Домашней и Гостевой, несколько сетей vlan: LAN15 (192.168.15.1/28), LAN16 (192.168.16.1/28). В LAN15 имеется сервер к которому обращаются устройства из домашней сети, из LAN16 и устройства подключающиеся по VPN (wireguard). Через firewall настроен доступ по нужным портам к серверу. Все работает, доступ есть.

1. Поскольку доступ в интернет необходим из всех описанных сетей, то опция Использовать NAT включена во всех сетях.  И, соответственно, на сервере отображается подключение от шлюза (192.168.15.1), а не IP устройства от которого идет соединение. Как настроить чтобы между сетями организованными на роутере отсутствовало натирование, а для Интернета использовался nat?

2. Для доступа из LAN16 к серверу в сети LAN15 приходиться прописывать на межсетевом экране ACL для исходящего из LAN16 трафика. Предполагаю, что это неверно?

Edited by ConstK
исправление ошибок
Link to comment
Share on other sites

6 answers to this question

Recommended Posts

  • 0

Странная ситуация. Здесь пишут что есть три типа 

Цитата

На интерфейсах интернет-центра предусмотрены настройки уровня доступа (security-level), которые определяют уровень безопасности (логику работы сетевого экрана):

— private (частный, локальный);
— public (внешний, публичный);
— protected (защищённый, локальный).

Cхему разрешённых и запрещённых направлений передачи данных в интернет-центре серии Keenetic можно представить следующей диаграммой:

Firewall-diagram.png

По умолчанию Keenetic принимает сетевые подключения только с интерфейсов private. Интерфейсам типа private разрешено устанавливать соединения в интерфейсы public, и на само устройство для управления и доступа к сервисам, работающим на интернет-центре. Для интерфейса гостевой сети закрыт доступ для управления интернет-центром и к его сервисам.

Между интерфейсами private и из private в protected устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Данная настройка зависит от установки параметра isolate-private. Если вам нужно разрешить соединения между интерфейсами типа private или между private и protected (т.е. не изолировать доступ), для этого выполните команду no isolate-private

Из интерфейсов типа public запрещено устанавливать соединения на любые интерфейсы, в том числе на другие интерфейсы типа public, а также на само устройство.

Интерфейсам типа protected разрешено устанавливать соединения только в интерфейсы public. По умолчанию доступ запрещён к устройствам интерфейсов private и других protected, а также к управлению устройством.

С помощью команды security-level public|private|protected можно управлять уровнями доступа на интерфейсах интернет-центра.

посмотрел конфиг

Цитата

        "interface Bridge4",

        "    description \"srv v inet 15\"",

        "    include GigabitEthernet0/Vlan15",

        "    include WifiMaster0/AccessPoint3",

        "    include WifiMaster1/AccessPoint2",

        "    mac access-list type none",

        "    security-level protected",

        "    ip address 192.168.15.1 255.255.255.240",

        "    ip dhcp client dns-routes",

        "    ip access-group _WEBADMIN_Bridge4 in",

        "    ip name-servers",

        "    up",

        "!",

        "interface Bridge5",

        "    description \"tv 16\"",

        "    include GigabitEthernet0/Vlan16",

        "    include WifiMaster0/AccessPoint2",

        "    include WifiMaster1/AccessPoint3",

        "    mac access-list type none",

        "    security-level protected",

        "    ip address 192.168.16.1 255.255.255.240",

        "    ip dhcp client dns-routes",

        "    ip access-group _WEBADMIN_Bridge5 in",

        "    ip name-servers",

        "    up",

так почему при включении NAT он отрабатывает для интерфейсов типа protected (защищённый, локальный)?

Link to comment
Share on other sites

  • 0

Вы имеете ввиду эту возможность команды ip static?

Цитата

... возможности настройки команды ip static...

Теперь можно использовать ее для включения NAT не только между интерфейсом и IP-адресом, но и между двумя интерфейсами. Например:

ip static Home ISP

Это будет работать, когда используется security-level public, хотя бы на одном из интерфейсов, чтобы работал SNAT, как указано в начале статьи.

Если interface или network соответствует интерфейсу с публичным уровнем безопасности (в настройках интерфейса в CLI стоит параметр security-level public), то будет выполняться трансляция адреса назначения (DNAT)

я правильно написал

ip static Bridge4 GigabitEthernet1

ip static Bridge5 GigabitEthernet1

no ip nat Bridge4

no ip nat Bridge5

?

keen.txt

Link to comment
Share on other sites

  • 0
8 часов назад, Leshiyart сказал:

нужно сделать ip static BridgeX ISP (где бридж сегмент с клиентами, ISP провайдер), после no ip nat BridgeX

Посмотрите мое сообщение выше

Link to comment
Share on other sites

  • 0
15 часов назад, ConstK сказал:

я правильно написал

ip static Bridge4 GigabitEthernet1

ip static Bridge5 GigabitEthernet1

no ip nat Bridge4

no ip nat Bridge5

?

system configuration save не забыли? так как в прикреплённом конфиге нет этих изменений

Link to comment
Share on other sites

  • 0
1 час назад, Leshiyart сказал:

system configuration save не забыли? так как в прикреплённом конфиге нет этих изменений

Спасибо большое! Все что хотел получилось.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...