Страница 1 из 2

Не работает NAT Cisco 2811

СообщениеДобавлено: 11 июл 2011, 19:33
plastilin
Маршрутизатор, на котором крутится BGP. Понадобилось запустить NAT для выпуска клиентов из внутренней сети в интернет.

Внутренний интерфейс:

Код: Выделить всё
interface Vlan5
 description --==INTERNAL==--
 ip address 192.168.2.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly


Внешний интерфейс (он же дефолт BGP)

Код: Выделить всё
interface FastEthernet0/1.378
 description --==EXTERNAL==--
 encapsulation dot1Q 378
 ip address xxx.xxx.xxx.xxx 255.255.255.252
 ip nat outside
 ip virtual-reassembly
 rate-limit output access-group 101 3000000 187500 187500 conform-action transmit exceed-action drop
 rate-limit output access-group 106 1000000 62500 62500 conform-action transmit exceed-action drop
 rate-limit output access-group 104 1000000 62500 62500 conform-action transmit exceed-action drop
 no cdp enable


Настройки NAT:

Код: Выделить всё
ip nat inside source list 4 interface FastEthernet0/1.378 overload



Код: Выделить всё
access-list 4 permit 192.168.2.0 0.0.0.255
access-list 4 deny   any
access-list 4 remark --==NAT klienty==--


Что тут не так?

UPD. Заработало но как то косячно, ICMP не работает, открываются не все сайты, хотя все резолвится.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 12 июл 2011, 10:55
root
Судя по приведенным тобой настройкам NAT`а я проблем не вижу.

1. ну а что показывает
Код: Выделить всё
sh ip nat translations

?

2. Как выглядит трасса у клиента ?

3. Происходят ли матчи в твоем access-list ?

4. BGP и NAT на одной железке :shock: жесть.
сколько BGP пиров ? Что из маршрутов принимаешь от них ?
Раз это роутер с BGP значит у тя есть своя подсеть адресов. Ты сейчас пытаешся запустить NAT на адресе, который тебе дал пров, а ты лучше подними NAT на своем IPшнике (из своего блока адресов) используя looback интерфейс и сделай NAT через него.

З.Ы. У меня дома на 2611 работают 4-ре NAT`а :), три из них настроены аналогично твоим настройкам.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 12 июл 2011, 11:56
plastilin
Победил еще вчера, не успел отписать.

1. Поднимаем loopback

Код: Выделить всё
interface Loopback0
 ip address xxx.xxx.xxx.254 255.255.255.255
 ip nat outside
 ip virtual-reassembly


2. Прописываем ip nat outside на bgp интерфейсе (у меня их 2, один смотрит вланом в мир, второй в украину, прописывал на обоих)

3. Прописываем Access List

Код: Выделить всё
access-list 4 permit 192.168.2.0 0.0.0.255
access-list 4 deny   any
access-list 4 remark --==NAT klienty==--


4. Прописываем Route-Map

Код: Выделить всё
route-map NAT permit 100
 description --==Ustanovka interfeysa po umolchaniyu dlya NAT==--
 match ip address 4
 set default interface Loopback0


5. Прописываем НАТ

Код: Выделить всё
ip nat inside source list 4 interface Loopback0 overload


Не знаю почему, но у меня заработало именно в такой конфигурации.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 12 июл 2011, 13:31
root
plastilin писал(а):2. Прописываем ip nat outside на bgp интерфейсе (у меня их 2, один смотрит вланом в мир, второй в украину, прописывал на обоих)

должно быть достаточно указать ip nat outside только на Loopback, ведь именно там ты выполняешь трансляцию NAT.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 12 июл 2011, 13:39
plastilin
Как ни парадоксально звучит - но не работает. Минуту назад еще раз решил проверить - удалил на обоих интерфейсах - нат попадал... ((( Я тоже в такой конфигурации не вижу логики.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 13 июл 2011, 20:31
root
узнать логику можно устроив траблшут и посмотрев в дебаг
я уже выше задал тебе вопросы, но ответа ты так на них и не дал.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 14 июл 2011, 14:36
plastilin
Достаточно тупой вопрос, как перенаправить логи дебага если из доступа к роутеру только SSH, а дебаг он шлет на консоль.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 14 июл 2011, 15:38
root
1. можно выполнить команду
Код: Выделить всё
terminal monitor

тогда все сообщения в консоли, в том числе и дебаг, будет выводиться в твою ssh/telnet сессию
2. debug пишется и в лог:
Код: Выделить всё
show logging

соответственно можно перенаправить на syslog сервер если нуна

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 03 авг 2011, 15:37
plastilin
Если выключить нат на внешнем интерфейсе, а оставить только на лупбеке - имеем следующее в дебаге:

Код: Выделить всё
Aug  3 12:33:42.158: NAT: expiring xxx.xxx.xxx.254 (192.168.2.24) tcp 1122 (1122)
Aug  3 12:33:43.046: NAT: s=192.168.2.24->xxx.xxx.xxx.254, d=94.245.70.85 [23557]


При этом на клиенте запущен пинг. Результат превышен интервал ожидания для запроса.

Re: Не работает NAT Cisco 2811

СообщениеДобавлено: 03 авг 2011, 16:52
root
plastilin, я выше написал не только про дебаг
посмотри, там есть ещё несколько вопросов, на которые ты упорно не даешь ответа.