У меня в сети куча ящиков маршрутизации 10.9.9.0/24. Я тестирую сценарии с IPSec и StrongSwan, и я создаю сценарий для эффективного запуска этих сценариев. Прямо сейчас сценарий, который я запускаю, сбрасывает предварительно запеченный файл конфигурации на каждый шлюз и открывает туннель, по которому их NAT могут взаимодействовать друг с другом. На каждом из них есть хотя бы один клиент. NAT жестко запрограммированы как 10.0.30.0/24 и 10.0.40.0/24.
Я не хочу настраивать это по-разному для каждого набора ящиков маршрутизации. Кошерно ли это в той же сети (у меня есть около 10 таких вещей в моей общей 10.9.9.0/24 сеть), дублируйте NAT для настройки между каждой парой блоков (10.0.30.0/24 и 10.0.40.0/24)? NAT должны общаться только со своим партнером, а не за его пределами. Я вижу, что проблемы могут возникнуть в любом случае, поскольку трафик может попытаться перенаправить из текущего блока в другой, но я недостаточно знаю о сети, чтобы быть уверенным.
Конечно, я мог бы просто тестировать одну пару за раз (отключая другие туннели, пока я проверяю каждый), и это сработает нормально, но было бы здорово, если бы они все работали одновременно.
Было бы целесообразно подробно представить одну из этих конфигураций.
Но в целом не должно быть проблем, если адреса NAT связаны с адресами туннелей в каждой из этих систем. Тогда адреса NAT все равно не покинут ни одну из этих систем через обычную сеть.