Невозможно подключиться к нестандартному (второму) интерфейсу (который не используется в качестве шлюза по умолчанию), когда включена подмена IP-адреса источника на Meraki MX84

Я столкнулся с сетевой проблемой, связанной с защитой от спуфинга IP-адреса источника.

Пожалуйста, посмотрите эту часть настройки:

Клиент A: (один сетевой интерфейс)

• IP: 10.10.230.26 (VLAN 230), шлюз: 10.10.230.1

Межсетевой экран / маршрутизатор Meraki (MX84):

• VLAN 230, IP: 10.10.230.1
• VLAN 240, IP: 10.10.240.1
• VLAN 2, IP: 10.10.2.1
• Еще несколько VLANS

Клиент B: (два сетевых интерфейса, шлюз по умолчанию - 10.10.240.1)

• Интерфейс 1: 10.10.240.11 (шлюз 10.10.240.1) (VLAN 240)
• Интерфейс 2: 10.10.2.11 (шлюз 10.10.2.1) (VLAN 2)

Клиент A не может связаться с клиентом B по VLAN 2: ping 10.10.2.11 -> Нет ответов. Это не работает, если на Meraki включена защита от подделки IP-адреса источника.

Если я создал политику маршрутизации на основе источника, что все пакеты, приходящие на 10.10.2.11, будут отправляться через 10.10.2.11, пинг работает.

В Wireshark я могу проверить, что Meraki не отвечает на эхо-запрос, я полагаю, потому что IP-адрес источника - 10.10.2.121, а пакет помечен идентификатором VLAN ID 240, но 10.10.2.121 принадлежит подсети VLAN 2.

Я не хочу отключать защиту от IP-спуфинга, но я также не решаюсь настраивать маршрутизацию на основе источника на десятках серверов. Есть ли другой шанс? Или моя топология неверна? Мой вариант использования: я хочу подключиться к MGMT-Subnet (VLAN 2) из ​​VPN (VLAN 230), но оставить интерфейс VLAN 240 в качестве основного сетевого интерфейса.

Спасибо заранее!