Изначально локальная сеть предприятия, которая насчитывает около 40 компьютеров, 7 серверов и дюжину сетевых МФУ, работает на неуправляемых коммутаторах.
Сейчас входным шлюзом поставлен RB1100AHx4 (R1), который используется как файрвол для защиты сети от внешнего мира(сейчас там 27 правил), планируется VPN Сервер для удаленных пользователей, Сервер Dude. На нем поднимается pppoe интерфейс до провайдера. Поднят DHCP сервер и раздается интернет.
После него будет CRS326-24G-2S+RM (R2) и на нем созданы и маршрутизируются vlan`ы. Получает адрес по DHCP. Интернет получает от R1 и отдает его в vlan`ы, раздавая там соответственно адреса по DHCP.
Как вы считаете, соответствуют ли выбранные роли оборудованию? Не будет ли Dude слишком нагружать R1? Допустим ли двойной NAT? если нет, как от него уйти в этой ситуации?
И еще вопрос - как при такой конфигурации делать проброс портов на сервера? Мне приходит в голову такое решение - сделать trunk между R2 и R1 (выбрав на R1 порт, не подключенный в bridge). То есть
на R2 порт ether21-trunk-to-R1 и с него уходят vlan70-servers, vlan10-office (с адресами 192.168.70.0/24 и 192.168.10.0/24 соответственно)
на R1 порт ether10-trunk-R2-uplink на который приходят эти vlan`ы сделать проброс порта как обычно:
Код: Выделить всё
add action=netmap chain=dstnat dst-port=4567 in-interface=pppoe-out1 protocol=tcp to-addresses=192.168.70.2 to-ports=3389