Двойной NAT хорошо или плохо?

Question

[efkot]

Сейчас сеть работает так

в центре RB1100AHx2 на нем 1 белый IP через который натится сеть 172.*.*.0/24
Клиенты на SXT Lite5 на котором Wlan интерфейс в 172.*.*.ХХХ/24 а Ethernet держит сеть 192.168.1.ХХХ/24 (NAT, DHCP, QOS, FireWall)
соответственно все запросы с клиента сначала натятся на SXT Lite5 а потом еще на RB1100AHx2
стоит ли пересмотреть схему сети? если делать чтобы натилость только в центре не совсем понятно как разграничить клиентов друг от друга + конечное число устройств за SXT Lite5 не известно

Answer 1

[Сергей]

хоть стопятьсот натов. но лучше сделать сквозную маршрутизацию. так проще наблюдать за компами.

Comments

[efkot]

Проблема в том что у всех клиент ов за SXT Lite5 одна и та же сеть 192.168.1.0/24, жопой чую что vlan надо.

[Сергей]

ну если возложить функцию дхцп на рб1100 .. то да. а нахрена?) отвалится канал и клиенты останутся без айпишников и внутренних сервисов

[efkot]

Подскажите в какую сторону метнутся

[Сергей]

эмм ... туннель до основного шлюза .. правильно настроенная сквозная маршрутизация .. профит )

[efkot]

OSFP можно поднять тогда клиентам сети нужно разнести 192.168.***.***/24, больше ничего в голову не пришло.

[efkot]

тунели думаю не нужны там секторы висят тупо в бридже wlan + ethernet

[efkot]

Там 5ghz и sxt по радио смотрят на шлюз а по езернету отпугивают в клиентскую сеть

Answer 2

[Клёвый Админ]

Для IP двойной нат - это костыль, для маршрутизатора - нагрузка, для админа - неразбериха, для клиентов - посра*ь.

Конструкция возможная, но маршрутизация всегда правильнее.

Answer 3

[mureevms]

За неимением лучшего и двойной нат сойдет.
Хоть это и костыль, но могу сказать, что у меня на двойном нате работает целое здание уже третий год и проблем нет.

Answer 4

[Денис Блейк]

Как уже писали, в данном случае лучше пересмотреть схему связи и использовать маршрутизацию. Текущая схема с двойным NAT будет работать, но:
1. Использование Nat требует больше ресурсов сетевого оборудования, чем маршрутизация (вообще не критично)
2. Неразбериха. Ведь вся подсеть 192.168.*.* будет отображаться у подсети 172.*.*.* как один IP адрес. Следовательно для решения возникших проблем в подсети 192.168.*.* потребуется больше времени (как минимум чтобы выяснить кто виноват)

Comments

[efkot]

Моя ответственность до SXT что внутри 192.168.1.0/24 не моё

[Денис Блейк]

Тогда сторонние подсети в отдельный VLAN, не него access list чтобы разграничить их от Вашей сети. Я бы NAT снял, чтобы если сторонняя подсеть начнет генерировать дурацкий трафик, проще было бы сказать "ребят, смотрите IP адрес XXX.XXX.XXX.XXX, там проблемы, ищите их" а не "ребят, от Вас идет всякая гадость, но мы не знаем где, ищите"

Answer 5

[HawK]

Как один из вариантов, сконфигурировать SXT Lite5 в беспроводные мосты и на RB1100AHx2 централизованно управлять сетью. При необходимости, изолировать клиентов друг от друга и ограничить броадкаст-трафик.
Не вижу особых проблем в схеме с каскадным NAT, незначительно увеличивается нагрузка на процессоры клиентских SXT Lite5, но вряд ли это проблема в данном случае.