Problem z NAT i PBR Temat rozwiązany

Problemy związane z routingiem
Wiadomość
Autor
gitakam
member
member
Posty: 20
Rejestracja: 13 gru 2016, 11:08

Problem z NAT i PBR

#1

#1 Post autor: gitakam »

Witam!

Osiągam pewną usługę na adresie IP serwera 9x.2x.2x.1x przez Tunnel1, do którego mogę dostać się tylko z źródłowego adresu 1y.1y.1y.3y. W sieci LAN mam działającą sieć 192.168.0.0/24, która wychodzi do Internetu przez FastEthernet4. Chciałbym, aby hosty z sieci lokalnej 192.168.0.0/24 miały dostęp do serwera 9x.2x.2x.1x, więc tworzę route-map PBR która łapie ruch listą ADRES i wysyła na Loopback0, gdzie skonfigurowany jest NAT zamieniający źródłowe 192.168.0.0/24 na adres 1y.1y.1y.3y. Czy ta koncepcja jest dobra? W praktyce nie działa. Z tego co zauważyłem to acccess-lista ADRES nie łapie ruchu, chociaż z wnętrza sieci generuję ruch na 9x.2x.2x.1x i pewnie od tego trzeba zacząć - co może być źle w tej konfiguracji?

Kod: Zaznacz cały

!
!
interface Loopback0
 ip address 1y.1y.1y.3y 255.255.255.248
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet4
 ip address dhcp
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Vlan1
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map PBR
!
ip route 9x.2x.2x.1x 255.255.255.255 Tunnel1
!
ip nat inside source list NAT interface Loopback0 overload
!
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list extended NAT
 permit ip 192.168.0.0 0.0.0.255 any
!
ip access-list extended ADRES
 permit ip any host 9x.2x.2x.1x
 permit icmp any host 9x.2x.2x.1x
!
route-map PBR permit 10
 match ip address ADRES
 set interface Loopback0
!
Pozdrawiam,

Kamil

jwidel
member
member
Posty: 16
Rejestracja: 14 gru 2016, 00:26

Re: Problem z NAT i PBR

#2

#2 Post autor: jwidel »

1) sh access-list nie pokaze ci 'hit-ow' jesli ACL nie jest nigdzie podpieta. sh route-map powinno Ci pokazac czy lapiesz ruch (to RM jest podpieta do intefejsu).
2) Nie wiem co chesz osiagnac dajac set interface na loopback0, przeciez za tym interfejsem nie ma sieci 9x.2x.2x.1x. Chyba ze chodzi ci o wykonanie NAT, ale to jakas dziwna figura...

Ogolnie twoj przypadek to troche NAT przy 2 ISP/WAN. z grubsza:

1) Usun route-map z vlan1
2)wywal ip nat outside z loopback0, dodaj na tunnel1
3) stworz RM dla NATa
route-map DEFAULT_NAT permit 10
match ip NAT
match interface FastEthernet4

route-map NO_DEFULT_NAT permit 10
match ip NAT
match ip interface Tunnel1


ip nat inside source route-map NO_DEFAULT_NAT interface Loopback0 overload
ip nat inside source route-map DEFAULT_NAT interface FastEthernet4 overload

Czyli pakiet wchodzi przez vlan1 (ip nat inside) zostaje poddany routingowi, a nastepnie wyslany przez 1 z 2ch interfejsow fa4/tunn1 (ip nat outside), w zaleznosci ktorym (route-map) zostanie dokonana trnaslacja na IP z lo0/fa4.

pisane z glowy, sprawdz to w jakims labie


Poz

gitakam
member
member
Posty: 20
Rejestracja: 13 gru 2016, 11:08

Re: Problem z NAT i PBR

#3

#3 Post autor: gitakam »

Dzięki za odpowiedź.

Pakiety zaczęło matchować. Dobrze mówisz, tylko nie wziąłeś pod uwagę, że wychodząc przez tunel, muszę podmienić adresy źródłowe z 192.168.0.0/24 na jeden adres 1y.1y.1y.3y (inaczej serwer 9x.2x.2x.1x mnie nie wpuści). W Twojej koncepcji wyjdę z adresem źródłowym tunelu i serwer 9x.2x.2x.1x nie wpuści mnie.

W związku z tą podmianą chciałem do tego celu wykorzystać loopback i tam zrobić podmianę adresu źródłowego, zanim wypchnę to w tunel. Nie wiem czy to dobra koncepcja?

Pozdrawiam,

Kamil

jwidel
member
member
Posty: 16
Rejestracja: 14 gru 2016, 00:26

Re: Problem z NAT i PBR

#4

#4 Post autor: jwidel »

gitakam pisze:Dzięki za odpowiedź.
Pakiety zaczęło matchować. Dobrze mówisz, tylko nie wziąłeś pod uwagę, że wychodząc przez tunel, muszę podmienić adresy źródłowe z 192.168.0.0/24 na jeden adres 1y.1y.1y.3y (inaczej serwer 9x.2x.2x.1x mnie nie wpuści). W Twojej koncepcji wyjdę z adresem źródłowym tunelu i serwer 9x.2x.2x.1x nie wpuści mnie.
Sprawdziles czy Ci sie wydaje?
Napisalem zebys ustawil:
interface tunnel1
ip nat outside
co automatycznie uruchomi NAT przed przekazaniem pakietu do interfejsu tunnel, a route-mapy zdefiniuja ktory NAT zastosowac.

Poszukaj dokumentacji jak dziala NAT oraz konfiguracji NAT dla 2 ISP.

gitakam
member
member
Posty: 20
Rejestracja: 13 gru 2016, 11:08

Re: Problem z NAT i PBR

#5

#5 Post autor: gitakam »

Wielkie dzięki, działa.

ODPOWIEDZ