Пока шлюз может построить маршрут до гостевой точки доступа, всё будет работать. (Запрос был на отсутствие двойного NAT). Прочитав, как развивалась эта ветка, я по-прежнему стою на своём — создайте на основном роутере интерфейс «гостевой сети» — либо в виде VLAN, либо как отдельный Ethernet-интерфейс. Для IP это не принципиально, главное, чтобы у роутера было три IP-интерфейса: WAN, LAN и guest, и чтобы они находились в разных широковещательных доменах (то есть не было нескольких IP в одной LAN). Если подключать простые точки доступа только с режимом моста, то они будут транслировать LAN, если подключены к LAN-интерфейсу роутера, и трансслировать гостевую сеть, если подключены к guest-интерфейсу. (Под этим я имею в виду не SSID, а именно реальную сеть, к которой будут подключаться устройства.) Это очень просто. В сети под вашим контролем это лучший вариант.
Второй способ — настроить на беспроводном роутере маршрутизацию гостевого диапазона IP с правилом фаервола, блокирующим трафик guest->LAN. Применение VLAN вместо физических интерфейсов имеет один плюс — одну точку доступа можно настроить с двумя SSID, используя тег VLAN, чтобы отделить их друг от друга по проводу.
Где-то в этой ветке кто-то упоминал портативную гостевую точку доступа, которую можно просто подключать куда угодно. Если вам нужна такая «включи и работай» гостевая точка, то она должна работать как NAT-роутер, где Ethernet-интерфейс — это WAN. Да, это приведёт к двойному NAT, но двойной NAT не особо мешает большинству приложений — VoIP, некоторые игры и, возможно, FTP могут страдать (обычно это приложения, которые требуют NAT-хелперы), а стандартные сервисы, которые вы хотите предоставить гостям (веб, почта), прекрасно работают через двойной NAT.
Самый сложный момент у «портативной» гостевой точки — ограничить доступ к непосредственному IP-диапазону того, к чему подключён WAN. Если WAN IP у портативной точки динамический, придётся либо использовать скрипты для обновления фильтра с текущим диапазоном IP, либо просто блокировать dst-address-list=private_ip, где private_ip — это 192.168.0.0/16, 10.0.0.0/8 и 172.16.0.0/12. Я рекомендую второй способ, так как он подойдёт для любой частной IP-сети, к которой подключается портативная точка.
Также советую, чтобы такая точка использовала DNS-прокси, где сама точка берёт DNS-сервера, назначаемые основной сетью — ведь неизвестно, какая политика в этой сети. Если просто поставить 8.8.8.8 или другой популярный публичный DNS для гостей, при подключении к сети, где блокируются DNS-запросы и приходится использовать локальный DNS с приватным IP, это сломается.
Если хочется перестраховаться и гарантировать, что LAN-адрес у портативной гостевой точки никогда не пересечётся с адресами сетей, к которым её подключают, попробуйте взять какой-то редкий диапазон, например документационный префикс (192.0.2.x/24) — это нарушение стандартов, но вы же всё равно будете NAT’ить, так ведь? Конечно, 192.168.174.x встречается редко, но если это сетка гостевой точки, и вы подключаете её к такой же подсети, будет конфликт — а вам ведь нужна максимальная портативность, правда?
