 NAT при прохождении пакетов через 1 интерфейс,  gagner, 02-Апр-10, 17:36 [смотреть все]Добрый день, многоуважаемый All. Схема стенда: циска 871/851 смотрит в чужую ЛВС 1 портом, на ней прописан адрес из этой сети и дефолт в сторону общего интернет-гейта. поднят крипто-туннель по инету в ядро родной сети.
необходимо обеспечить доступность заданных "родных" хостов из "вражеской" сети. естесственно, закрыв source nat'ом. т.к. туннель сделан крипто-мапом - пакеты входят и выходят в один и тот же интерфейс: приходят по статике на "вражеских" компах, натятся и должны (согласно ACL) уходить в крипто-туннель. ip nat inside/outside не пропишешь. ip nat enable не работает: если прописать ip nat enable на порту fa4 и
ip nat inside source list 101 interface Loopback0 overload
access-list 101 permit ip host 192.168.0.5 host 172.21.0.1 то по дебагу нат не отрабатывает вообще если изменить на ip nat source list 101 int lo0, то в дебаге пишется:
*Mar 3 10:43:50.935: IP: tableid=0, s=192.168.0.5 (FastEthernet4), d=172.21.0.1 (FastEthernet4), routed via RIB
*Mar 3 10:43:50.935: NAT: s=192.168.0.5->10.100.160.1, d=172.21.0.1 [6352]
*Mar 3 10:43:50.935: IP: tableid=0, s=10.100.160.1 (FastEthernet4), d=172.21.0.1 (FastEthernet4), routed via RIB
*Mar 3 10:43:50.935: IP: s=10.100.160.1 (FastEthernet4), d=172.21.0.1 (FastEthernet4), len 60, rcvd local pkt насколько я понимаю, нат отрабатывает, но пакет в крипто-туннель не уходит (счетчики не растут). при этом пинг с сорсом самого lo0 ходит на ура. я уже даже безуспешно пробовала отправлять трафик на второй лупбэк, привязав к нему PBR и проставив inside|outside - но это скорее от отчаянья. (( есть ли варианты решения данной задачи?
|
- Путанно очень..., j_vw, 18:21 , 02-Апр-10 (1)
Картинку бы нарисовали....>Добрый день, многоуважаемый All.
>
>Схема стенда: циска 871/851 смотрит в чужую ЛВС 1 портом, на ней
>прописан адрес из этой сети и дефолт в сторону общего интернет-гейта.
>поднят крипто-туннель по инету в ядро родной сети.
>необходимо обеспечить доступность заданных "родных" хостов из "вражеской" сети. "Родные" это где? В ядре или за 8xx? >
>т.к. туннель сделан крипто-мапом Так у вас тунель до головного офиса или, просто, IPSEC поднят на интерфейсе? > - пакеты входят и выходят в один и
>тот же интерфейс: приходят по статике на "вражеских" компах, натятся и
>должны (согласно ACL) уходить в крипто-туннель. ip nat inside/outside не пропишешь. А нат зачем? Не знаю... Если не основываться на кусках ваших решений, то:
1. Поднимаем gre(шифрованный) тунель офис-филиал
2. Пользователи ходят в инет через нат а в офис через интерфейс тунеля.
3. Во вражеской сетке пишется роут на офис через интерфейс 8хх (В офисе роут во вражескую сетку через тунель )
4. Режем ACL все ненужное...
- Путанно очень..., gagner, 19:46 , 02-Апр-10 (2)
- Путанно очень..., j_vw, 20:22 , 02-Апр-10 (3)
>Картинка:
>http://imglink.ru/pictures/02-04-10/6ea3f1f6a3013d089ac9d17f...
>
>на "компе" прописан статический рут 172.21.0.1/32 192.168.0.3 Я, до сих пор не понимаю....
А почему в lo 172.210.1? А не в нужную сеть? >рутер с лупбэком 172.21.0.1 ничего не знает о 192.168.0.0/24, 1. Кто мешает узнать? >надо связать комп 192.168.0.5 с лупбэком 172.21.0.1 Да дались вам эти лупбеки....
Не пойму, зачем? Схема рабочая....
Мой вариант прокатывает.....
Что в нем смущает? Распишите на схеме все интерфейсы...
И променуйте на схеме роутеры и интерфейсы, чтоб говорить на одном языке.
Есть подозрение, что либо, чего то надумываете, либо, информации не хватает...
Пока все...
Нужно, сначала, с дизайном определиться....
Потом конфиги будем смотреть...
- Путанно очень..., gagner, 20:54 , 02-Апр-10 (4)
омг... я собираю/описываю стенд, который является отражением рабочей схемы. и если меня интересуют лупбэки и странный нат на 1 интерфейсе - значит оно так надо, это часть ТЗ.
если глобально, то у меня дуал-сайт ядро и куча маленьких цисочек, которые включены туннелями по инету. зачастую они включены в сеть клиентов, которые пропускают мои железки наружу, закрывая натом. приложения с компов клиента должны стучаться ко мне в ядро через эти цисочки. я не могу принять сетки клиентов - потому что их много и они все зачастую одинаковые и чужеродные... поэтому нужен нат.
ранее у меня был DMVPN + динамика по туннелям - я даже как-то писала тут об этом... но всвязи с тем, что мне нужно принять порядка 500 851 цисок не умеющих динамику - я меняю схему на крипто-туннели с реверс-рутами... и в новую схему у меня не укладывается нат. в общем, жизнь намного сложнее собранного стенда. ))
- Путанно очень..., j_vw, 21:50 , 02-Апр-10 (5)
>омг... я собираю/описываю стенд, который является отражением рабочей схемы. и если меня
>интересуют лупбэки и странный нат на 1 интерфейсе - значит оно
>так надо, это часть ТЗ. !!! > но всвязи с тем, что мне нужно принять порядка 500 851 цисок А вот с этого и нужно было начать .... Сударыня... Поймите правильно....
Вы там корпите над КОММЕРЧЕСКИМ решением... За ДЕНЬГИ...
И решаете его не за 10 минут.
По мне, блоу-тон, в таком случае, использовать конференции...
Более того, изначально, не точно определив условия задачи.... Поймите:
1: У меня, например, тоже, есть какая то работа...За деньги...
2: Все, что я могу уделить решению вашей задачи - минут 10-15...Бесплатно...Дома...Под-пиво...Чтобы не терять квалификацию... Повторюсь....
Изначально, я решил вашу задачу...
Но, вы меняете условия на-ходу...
Я готов помогать людям, которые, по мне, не могут обладать нужной квалификацией...
В вашем случае - это не так...
- Чего то я вчера злобный был..., j_vw, 08:47 , 03-Апр-10 (6)
Прошу прощения...
День не очень удачный ;(
Даже Блоутон(система подачи водителями световых сигналов) с Моветоном (дурным тоном) cпутал ;)
Такая конструкция не прокатит?int Lo 0
ip address 10.100.160.0 255.255.255.0
ip nat out
int Lo 1
ip address 10.127.0.1 255.255.255.0
ip nat in int Fa 0
ip address 192.168.0.3 255.255.255.0
ip policy route-map Enemy
access-list ex Enemy
permit ip 192.168.0.0 0.0.0.255 host 172.21.0.1
route-map Enemy permit 10
match ip address Enemy
set interface Lo1
ip nat inside source list Enemy int Lo 0 overload
- решение, gagner, 13:17 , 05-Апр-10 (7)
Ваша конструкция не рабочая, т.к. при отправке трафика рут-мапом на lo1 он умрет. Зато она вдохновила меня на подвиги. Получилось нечто корявое... впрочем, как и сама задача. И оно действительно работает! )) interface Loopback0 - не обязателен в общем случае, можно заменить на add-route в натовском пуле.
ip address 10.100.160.1 255.255.255.0
!
interface Loopback1
ip address 6.6.6.6 255.255.255.255
ip nat enable
ip policy route-map Vyhod
!
interface FastEthernet4
description INTERNET
ip address 192.168.0.3 255.255.255.0
ip nat enable
ip policy route-map Vhod
!
ip route 10.100.160.2 255.255.255.255 Loopback1 - без статики обратные пакеты умирают на lo0. в случае add-route это скорее всего не нужно.
ip route 172.21.0.1 255.255.255.255 FastEthernet4 - рут-мапа не хватило.
!
ip nat pool POOL 10.100.160.2 10.100.160.4 netmask 255.255.255.0
ip nat source list 101 pool POOL overload
!
ip access-list extended Vhod
permit ip host 192.168.0.5 host 172.21.0.1
permit ip host 172.21.0.1 10.100.160.0 0.0.0.255 - для обратных пакетов
ip access-list extended Vyhod
permit ip 10.100.160.0 0.0.0.255 host 172.21.0.1
permit ip host 172.21.0.1 10.100.160.0 0.0.0.255 - для обратных пакетов
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 host 172.21.0.1
!
!
route-map Vhod permit 10
match ip address Vhod
set interface Loopback1
!
route-map Vyhod permit 10
match ip address Vyhod
set interface FastEthernet4 Стоит помнить, что нат отрабатывает при прохождении куска "петли" из fa 4 на lo1. Причем не с классическими inside/outside, а именно с enable. Вот как-то так. Иногда когда ломаешь голову над проблемой - глаза "замыливаются" и начинаешь тупить. В такие моменты достаточно идеи или тычка в сторону нужной статьи... ведь я думала в сторону PBR - но зациклилась на next-hop'ах. и одной вашей строчки "set interface" хватило для создания схемы. Спасибо.
- решение, gagner, 14:54 , 05-Апр-10 (8)
подумала и убрала lo1, сделав PBR на lo0 (изначально мне нужен был "чистый" лупбэк под мониторинг/управление), сделала пул из отдельной линковой сеточки (+add-route) - так гораздо короче и красивее. Статика ip route 10.100.160.2 255.255.255.255 Loopback1 действительно не нужна. так же не нужен второй рут-мап Vyhod. и получается совсем красота. ))
|
Версия для распечатки
