Используйте 5 статических IP-адресов без NAT на хостах за маршрутизатором за Comcast Business IP Gateway

У меня есть маршрутизатор VyOS. VyOS - это OSS-форк Vyatta pre-Brocade/pre-Ubiquiti EdgeRouter. Он имеет демилитаризованную зону, расположенную на нескольких серверах, с которыми сталкивается общественность, и частную зону, выходящую на наши частные сети WiFi и Ethernet.

Ранее мы работали над DSL с одним статическим IP-адресом. Модем DSL просто находился в режиме моста, а статический IP-адрес был назначен интерфейсу WAN маршрутизатора VyOS. DSL (и один IP-адрес) стал неустойчивым.

Мы настроили Интернет Comcast Business Class (5 статических IP-адресов). С ним вы должны использовать Comcast Business IP Gateway (модный модем DOCSIS 3.0, в данном случае Cisco type-BWG model-DPC3939B), если вы хотите иметь статические IP-адреса (ваше собственное оборудование допускается только с динамическим IP-адресом). Кроме того, если вы хотите иметь статические IP-адреса, вы не можете перевести IP-шлюз в режим моста. Он вернется к динамической адресации, если вы это сделаете. Статическая адресация доступна только в режиме маршрутизатора, хотя Comcast подчеркивает, что вы можете отключить все функции маршрутизатора (DHCP, NAT, WiFi, брандмауэр и т. Д.) И использовать собственное оборудование (наш маршрутизатор VyOS) за модемом. И здесь все странно.

5 статических IP-адресов поступают из /29: в нашем случае это *.168 - *.175, с *.168 и *.175 зарезервированы / непригодны, а *.174 назначены шлюзу IP, что оставляет нас с *.169, *.170, *.171, *.172 и *.173 для использования с нашим оборудованием. *.174 - это "шлюз по умолчанию", адрес, через который проходит весь исходящий трафик.

Я могу настроить простую конфигурацию, при которой VyOS имеет один статический IP-адрес (*.169) в своей глобальной сети, и весь трафик входит и выходит через него через шлюз IP. Работает нормально. Но я не уверен, как / лучший способ использовать все пять. Я предположил, что могу назначить все пять адресов глобальной сети и использовать 1:1 NAT (DNAT+SNAT) для обработки сопоставления входящего трафика с этими общедоступными IP-адресами частным IP-адресам в демилитаризованной зоне и наоборот, но я хотел избегайте этой настройки. (Я знаю, что должен использовать SNAT для своих частных сетей DHCP/WiFi/ Ethernet; мне не нужна помощь с этим.)

Я надеялся, что смогу назначить только один публичный IP (*.169) для WyOS WAN, а затем назначить *.170 - *.173 непосредственно хостам в моей DMZ, настроить VyOS для маршрутизации трафика на эти публичные IP в DMZ и настройте шлюз IP для отправки всего трафика *.169 - *.173 на *.169 для дальнейшей маршрутизации. Это возможно? Или вышеупомянутый подход NAT является лучшим / единственным решением?