Solo debes usar un enrutador / firewall.
El problema con el uso de dos enrutadores es que configuras un doble escenario NAT . Lo que sucede básicamente es que reenvía un puerto desde el enrutador perimetral (el de tu ISP) al enrutador interno (Aeropuerto), que luego tiene que reenviar el puerto nuevamente.
Por ejemplo, utilizando ssh puerto 22 como ejemplo, tendría que reenviar el puerto 22 en el enrutador ISP al aeropuerto, que luego debe reenviar el puerto 22 al host que acepta la conexión entrante (como su Mac) .
¿Pueden funcionar las cosas en el escenario anterior? Claro, pero agrega varias capas de complejidad.
Lo que debes hacer es uno de los siguientes:
-
Desactive el cortafuegos en el aeropuerto y deje que el enrutador de borde se encargue de todo el reenvío de puertos
-
Desactive el firewall en el enrutador de borde (conviértalo en una puerta de enlace) y use los servicios de firewall en el aeropuerto
También debes evitar el uso de una DMZ. Esta es un área expuesta de su red que permite que todas las conexiones / puertos pasen. Es análogo al porche delantero de una casa, es parte de la casa pero nada está asegurado detrás de la puerta principal.