31.07.2025

Eltex — настройка NAT (SNAT) для доступа в интернет

Функция Source NAT (SNAT) используется для подмены адреса источника у пакетов, проходящих через сетевой шлюз. При прохождении пакетов из локальной сети в публичную сеть, адрес источника заменяется на один из публичных адресов шлюза. Дополнительно к адресу источника может применяться замена порта источника. При прохождении пакетов из публичной сети в локальную происходит обратная подмена адреса и порта.

Функция SNAT может быть использована для предоставления доступа в Интернет компьютерам, находящимся в локальной сети. При этом не требуется назначения публичных IP-адресов этим компьютерам.

Топология:
img
Задача:

Настроить доступ с rtr1 (209.100.1.100/24) и rtr2 (209.100.1.200/24) к публичной сети с использованием функции Source NAT, через ip-адрес isp (Виртуальный сервисный маршрутизатор vESR) который смотрит в настоящую сеть Интернет.

Решение:

  1. Назначаем IP-адреса на интерфейсы:

configure

  • на интерфейс смотрящий в сторону глобальной сети получаем сетевые параметры по DHCP

interface gi1/0/1
description connection_WAN
ip address dhcp
exit

  • на интерфейс смотрящий в сторону rtr1 и rtr2 назначаем статический адрес из подсети 209.100.1.0/24

interface gi1/0/2
description connection_COMPANY
ip address 209.100.1.254/24
exit

  1. Создадим зону безопасности «trusted» и установим принадлежность интерфейса gi1/0/2 (смотрящего в подсеть rtr1 и rtr2):

security zone trusted
exit

interface gi1/0/2
security-zone trusted
exit

  1. Создадим зону безопасности «untrusted» и установим принадлежность интерфейса gi1/0/1 (смотрящего в настоящую сеть Интернет):

security zone untrusted
exit

interface gi1/0/1
security-zone untrusted
exit

do commit
do show running-config
img

  1. Для конфигурирования SNAT и настройки правил зон безопасности потребуется создать профиль адресов сети «COMPANY», включающий адреса, которым разрешен выход в публичную сеть, и профиль адреса публичной сети «WAN».

object-group network COMPANY
ip address-range 209.100.1.100          # IP-адрес rtr1
ip address-range 209.100.1.200          # IP-адрес rtr2
exit

object-group network WAN
ip address-range 192.168.15.200         # IP-адрес isp - смотрящий в настоящую сеть Интернет
exit

do commit
do show running-config
img

do confirm

  1. Для пропуска трафика из зоны trusted в зону untrusted создадим пару зон и добавим правила, разрешающие проходить трафику в этом направлении. Дополнительно включена проверка адреса источника данных на принадлежность к диапазону адресов COMPANY для соблюдения ограничения на выход в публичную сеть. Действие правил разрешается командой enable:

security zone-pair trusted untrusted
rule 1
match source-address COMPANY
action permit
enable
exit
exit

do commit
do show running-config
img

do confirm

  1. Конфигурируем сервис SNAT. Первым шагом задаётся IP-адрес публичной сети (WAN), используемых для сервиса SNAT:

nat sourсe
pool WAN
ip address-range 192.168.15.200         # IP-адрес isp - смотрящий в настоящую сеть Интернет
exit

  1. Создаём набор правил SNAT. В атрибутах набора укажем, что правила применяются только для пакетов, направляющихся в публичную сеть – в зону untrusted. Правила включают проверку адреса источника данных на принадлежность к пулу COMPANY:

ruleset SNAT
to zone untrusted
rule 1
match source-address COMPANY
action source-nat pool WAN
enable
exit
exit

do commit
do show running-config
img

do confirm
Проверяем с rtr1 и rtr2 доступ в Интернет
img
img
Проверяем таблицу преобразований адресов на isp

show ip nat translation