Не работает NAT Cisco 2811

Все остальное

Не работает NAT Cisco 2811

Сообщение plastilin » 11 июл 2011, 19:33

Маршрутизатор, на котором крутится BGP. Понадобилось запустить NAT для выпуска клиентов из внутренней сети в интернет.

Внутренний интерфейс:

Код: Выделить всё
interface Vlan5
 description --==INTERNAL==--
 ip address 192.168.2.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly


Внешний интерфейс (он же дефолт BGP)

Код: Выделить всё
interface FastEthernet0/1.378
 description --==EXTERNAL==--
 encapsulation dot1Q 378
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 rate-limit output access-group 101 3000000 187500 187500 conform-action transmit exceed-action drop
 rate-limit output access-group 106 1000000 62500 62500 conform-action transmit exceed-action drop
 rate-limit output access-group 104 1000000 62500 62500 conform-action transmit exceed-action drop
 no cdp enable


Настройки NAT:

Код: Выделить всё
ip nat inside source list 4 interface FastEthernet0/1.378 overload



Код: Выделить всё
access-list 4 permit 192.168.2.0 0.0.0.255
access-list 4 deny   any
access-list 4 remark --==NAT klienty==--


Что тут не так?

UPD. Заработало но как то косячно, ICMP не работает, открываются не все сайты, хотя все резолвится.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Не работает NAT Cisco 2811

Сообщение root » 12 июл 2011, 10:55

Судя по приведенным тобой настройкам NAT`а я проблем не вижу.

1. ну а что показывает
Код: Выделить всё
sh ip nat translations

?

2. Как выглядит трасса у клиента ?

3. Происходят ли матчи в твоем access-list ?

4. BGP и NAT на одной железке :shock: жесть.
сколько BGP пиров ? Что из маршрутов принимаешь от них ?
Раз это роутер с BGP значит у тя есть своя подсеть адресов. Ты сейчас пытаешся запустить NAT на адресе, который тебе дал пров, а ты лучше подними NAT на своем IPшнике (из своего блока адресов) используя looback интерфейс и сделай NAT через него.

З.Ы. У меня дома на 2611 работают 4-ре NAT`а :), три из них настроены аналогично твоим настройкам.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Не работает NAT Cisco 2811

Сообщение plastilin » 12 июл 2011, 11:56

Победил еще вчера, не успел отписать.

1. Поднимаем loopback

Код: Выделить всё
interface Loopback0
 ip address xxx.xxx.xxx.254 255.255.255.255
 ip nat outside
 ip virtual-reassembly


2. Прописываем ip nat outside на bgp интерфейсе (у меня их 2, один смотрит вланом в мир, второй в украину, прописывал на обоих)

3. Прописываем Access List

Код: Выделить всё
access-list 4 permit 192.168.2.0 0.0.0.255
access-list 4 deny   any
access-list 4 remark --==NAT klienty==--


4. Прописываем Route-Map

Код: Выделить всё
route-map NAT permit 100
 description --==Ustanovka interfeysa po umolchaniyu dlya NAT==--
 match ip address 4
 set default interface Loopback0


5. Прописываем НАТ

Код: Выделить всё
ip nat inside source list 4 interface Loopback0 overload


Не знаю почему, но у меня заработало именно в такой конфигурации.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Не работает NAT Cisco 2811

Сообщение root » 12 июл 2011, 13:31

plastilin писал(а):2. Прописываем ip nat outside на bgp интерфейсе (у меня их 2, один смотрит вланом в мир, второй в украину, прописывал на обоих)

должно быть достаточно указать ip nat outside только на Loopback, ведь именно там ты выполняешь трансляцию NAT.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Не работает NAT Cisco 2811

Сообщение plastilin » 12 июл 2011, 13:39

Как ни парадоксально звучит - но не работает. Минуту назад еще раз решил проверить - удалил на обоих интерфейсах - нат попадал... ((( Я тоже в такой конфигурации не вижу логики.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Не работает NAT Cisco 2811

Сообщение root » 13 июл 2011, 20:31

узнать логику можно устроив траблшут и посмотрев в дебаг
я уже выше задал тебе вопросы, но ответа ты так на них и не дал.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Не работает NAT Cisco 2811

Сообщение plastilin » 14 июл 2011, 14:36

Достаточно тупой вопрос, как перенаправить логи дебага если из доступа к роутеру только SSH, а дебаг он шлет на консоль.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Не работает NAT Cisco 2811

Сообщение root » 14 июл 2011, 15:38

1. можно выполнить команду
Код: Выделить всё
terminal monitor

тогда все сообщения в консоли, в том числе и дебаг, будет выводиться в твою ssh/telnet сессию
2. debug пишется и в лог:
Код: Выделить всё
show logging

соответственно можно перенаправить на syslog сервер если нуна
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Не работает NAT Cisco 2811

Сообщение plastilin » 03 авг 2011, 15:37

Если выключить нат на внешнем интерфейсе, а оставить только на лупбеке - имеем следующее в дебаге:

Код: Выделить всё
Aug  3 12:33:42.158: NAT: expiring xxx.xxx.xxx.254 (192.168.2.24) tcp 1122 (1122)
Aug  3 12:33:43.046: NAT: s=192.168.2.24->xxx.xxx.xxx.254, d=94.245.70.85 [23557]


При этом на клиенте запущен пинг. Результат превышен интервал ожидания для запроса.
Кто ищет тот всегда найдет и обязательно скачает...
Аватара пользователя
plastilin
новичок
 
Сообщения: 97
Зарегистрирован: 21 ноя 2008, 14:20
Откуда: Из города-героя Киева!

Re: Не работает NAT Cisco 2811

Сообщение root » 03 авг 2011, 16:52

plastilin, я выше написал не только про дебаг
посмотри, там есть ещё несколько вопросов, на которые ты упорно не даешь ответа.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 10

cron