Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 14:42



Ответить на тему  [ Сообщений: 14 ] 
NAT и ACL 
Автор Сообщение

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Ранее на 15.0 и 15.1 версиях IOS когда я прилепливал ACL к NAT, при срабатывании тикал таймер, а вот на новых маршрутизаторах 4331 с IOS 15.5 не срабатывает. Если ACL цепляю на интерфейс, счетчик тикает, счетчик не увеличивается только с ACL которые относятся к NAT

Версия IOS была - 15.5(3)s4b, обновил до 15.5(3)s6 - ничего не изменилось

Может кто знает в чём суть ?

На версиях 15.0 и 15.1
Изображение
Просматриваю с помощью команды: show ip access-lists [имя листа]
Изображение

Конфиг на 4331 - IOS 15.5(3)s6
Изображение
Изображение


23 окт 2017, 13:40
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Ну хоть кто нибудь, подскажите.


24 окт 2017, 09:37
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
https://supportforums.cisco.com/t5/wan- ... -p/2654281


24 окт 2017, 10:18
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Может кому то будет интересно и полезно:
https://supportforums.cisco.com/t5/wan-routing-and-switching/nat-acl-counters-not-incrementing-isr-4331/m-p/3204735#M287004


25 окт 2017, 10:42
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Что бы не создавать еще одну тему, опишу вторую проблему здесь.

Ранее на 2921 все работало нормально, пока я не поставил 4331.

Что было на 2921:
От провайдера получал пул, делал два НАТа, один для пользователей и один для серверов
Код:
ip nat pool NAT_SELFEXTIP 213.ХХХ.ХХ.242 213.ХХХ.ХХ.242 netmask 255.255.255.248
ip nat pool NAT_SERVERS 213.ХХХ.ХХ.244 213.ХХХ.ХХ.244 netmask 255.255.255.248
ip nat inside source list ACL_NAT_SELFEXTIP pool NAT_SELFEXTIP overload
ip nat inside source list ACL_NAT_SERVERS pool NAT_SERVERS overload
ip access-list extended ACL_NAT_SELFEXTIP
ip access-list extended ACL_NAT_SERVERS


- через один адрес пользователи заворачивались на прокси и далее выходили в инет.
- сервера по своим правилам так же выходили в инет [правила описанные в ACL который я прилепливал к НАТ]

Что есть сейчас на 4331:
Тот же пул, разбитый на два НАТа, но работает только один, понять не могу почему так
Даже если я пишу в ACL вот такое правило, все равно нихрена не заводится.
Оно будет работать только если я перенесу его в ACL для серверов - из за этой фигни, мне кучу правил пришлось передислоцировать в один ACL :/

Код:
ip access-list extended ACL_NAT_SELFEXTIP
permit ip host 10.0.0.100 any


Может тут детская ошибка которую я просто не вижу ?

Спасибо за помощь


30 окт 2017, 18:21
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 227
Restrictions for Configuring NAT for IP Address Conservation


31 окт 2017, 09:47
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Мой английский не настолько хорош как хотелось бы, надеюсь я все понял.
У меня собственно есть две мысли.

Из статьи:
1) Do not configure the interface IP address as part of the IP address NAT pool.
Странно конечно, а если провайдер мне дает один адрес ? То он будет и интерфейсу принадлежать и пулу. Или я чёто не догоняю.
В моем случае, я не должен использовать 242 адрес в пуле потому, что я использую его на интерфейсе ?
2) Using any IP address configured of a device as an address pool or in a NAT static rule is not supported. NAT can share the physical interface address (not any other IP address) of a device only by using the NAT interface overload configuration. A device uses the ports of its physical interface and NAT must receive communication about the ports that it can safely use for translation. This communication happens only when the NAT interface overload is configured.
Вот тут я не совсем понимаю, что имеется ввиду. Но у меня оба пула сконфигурированы как overload

Повторюсь, у меня IOS: isr4300-universalk9.03.16.04b.S.155-3.S4b-ext.SPA.bin

Полная настройка НАТов выглядит у меня вот так:
Код:
ip nat pool NAT_SELFEXTIP 213.ХХХ.ХХ.242 213.ХХХ.ХХ.242 netmask 255.255.255.248
ip nat pool NAT_SERVERS 213.ХХХ.ХХ.244 213.ХХХ.ХХ.244 netmask 255.255.255.248
ip nat pool Asterisk 213.ХХХ.ХХ.246 213.ХХХ.ХХ.246 netmask 255.255.255.248
ip nat inside source static tcp 10.ХХ.3.33 25 213.ХХХ.ХХ.244 25 extendable
ip nat inside source static tcp 10.ХХ.2.39 80 213.ХХХ.ХХ.244 80 extendable
ip nat inside source static tcp 10.ХХ.2.39 443 213.ХХХ.ХХ.244 443 extendable
ip nat inside source static tcp 10.ХХ.3.42 443 213.ХХХ.ХХ.245 443 extendable
ip nat inside source static tcp 10.ХХ.3.113 22 213.ХХХ.ХХ.245 2202 extendable
ip nat inside source static tcp 10.ХХ.3.51 22 213.ХХХ.ХХ.245 3022 extendable
ip nat inside source static 10.ХХ.3.113 213.ХХХ.ХХ.246 extendable
ip nat inside source list ACL_NAT_SELFEXTIP pool NAT_SELFEXTIP overload
ip nat inside source list ACL_NAT_SERVERS pool NAT_SERVERS overload
ip nat inside source list Asterisk pool Asterisk overload

Код:
interface GigabitEthernet0/0/1.12
 description Connect to ISP1
 encapsulation dot1Q 12
 ip address 213.XXX.XX.242 255.255.255.248
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip nbar protocol-discovery
 ip authentication mode eigrp 1 md5
 ip authentication key-chain eigrp 1 KEY
 no cdp enable


31 окт 2017, 11:30
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
Jasson писал(а):
Странно конечно, а если провайдер мне дает один адрес ? То он будет и интерфейсу принадлежать и пулу. Или я чёто не догоняю.
В моем случае, я не должен использовать 242 адрес в пуле потому, что я использую его на интерфейсе ?
тогда указывайте не пул, а имя интерфейса. В чем проблема то?


31 окт 2017, 12:47
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Код:
ip nat pool NAT_SELFEXTIP 213.ХХХ.ХХ.242 213.ХХХ.ХХ.242 netmask 255.255.255.248
ip nat pool NAT_SERVERS 213.ХХХ.ХХ.244 213.ХХХ.ХХ.244 netmask 255.255.255.248
ip nat pool Asterisk 213.ХХХ.ХХ.246 213.ХХХ.ХХ.246 netmask 255.255.255.248
ip nat inside source static tcp 10.ХХ.3.33 25 213.ХХХ.ХХ.244 25 extendable
ip nat inside source static tcp 10.ХХ.2.39 80 213.ХХХ.ХХ.244 80 extendable
ip nat inside source static tcp 10.ХХ.2.39 443 213.ХХХ.ХХ.244 443 extendable
ip nat inside source static tcp 10.ХХ.3.42 443 213.ХХХ.ХХ.245 443 extendable
ip nat inside source static tcp 10.ХХ.3.113 22 213.ХХХ.ХХ.245 2202 extendable
ip nat inside source static tcp 10.ХХ.3.51 22 213.ХХХ.ХХ.245 3022 extendable
ip nat inside source static 10.ХХ.3.113 213.ХХХ.ХХ.246 extendable
ip nat inside source list ACL_NAT_SELFEXTIP interface GigabitEthernet0/0/1.12 overload
ip nat inside source list ACL_NAT_SERVERS pool NAT_SERVERS overload
ip nat inside source list Asterisk pool Asterisk overload


Последовательность моих действий:
- Убрал правила с ACL_NAT_SERVERS которые должны пренадлежать ACL_NAT_SELFEXTIP
- Добавил в ACL_NAT_SELFEXTIP правила
- Удалил правило ip nat inside source list ACL_NAT_SELFEXTIP pool NAT_SELFEXTIP overload
- Добавил правило ACL_NAT_SELFEXTIP interface GigabitEthernet0/0/1.12 overload

Что получилось ? пользователи все равно пошли через 213.ХХХ.ХХ.244, а не через 242

Времени было мало, надо было все делать шустро, так как это не тестовое железо. Может где то допустил ошибку.


07 ноя 2017, 10:24
Профиль

Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
Да хз, такое ощущение, что у вас ACL "ACL_NAT_SELFEXTIP" не матчит пользователей. NAT_SERVERS матчит пользователей.
А еще возможно у вас пользователи выходят через прокси-сервер по WEB. Из за этого, у пользунов, 2ip(или чем вы там проверяете) показывает айпишник из серверного пула.
Вообще, правила скиньте сюда ACL , далее sh ip nat tran | i "сетка пользователей.X"


07 ноя 2017, 12:32
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
У Вас сервера и юзерские тачки лежат в одной сети? Правильно?
Если да, то в ACL надо вносить изменения: типа deny IP адреса которые не должны попасть в NAT, а потом разрешаем все остальное.

ip access-list extended VLAN_1_OLD
deny ip host 192.168.0.166 host 10.0.0.4
deny ip host 192.168.0.166 host 10.0.0.3
deny ip host 192.168.0.166 host 10.0.0.2

permit ip 192.168.0.0 0.0.0.255 any


07 ноя 2017, 13:13
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
В общем к ACL прицепил себя и выпустил в инет
Изображение
Что я вижу и что есть:
-icmp запросы к разным сайтам проходят, причём по имени
-skype воркает
-но сайты как не открывались так и не открываются - настройки "без прокси и тд" я это уже смотрел
Изображение
Настройки интерфейса:
Изображение


07 ноя 2017, 14:51
Профиль

Зарегистрирован: 18 окт 2016, 17:25
Сообщения: 84
Добавляю ACL:
Изображение

Вообще в принципе, я уже готов удалить ACL_NAT_SELFEXTIP - так как в такой конфигурации он вообще бесполезен
Изображение


07 ноя 2017, 15:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Jasson писал(а):
В общем к ACL прицепил себя и выпустил в инет
Что я вижу и что есть:
-icmp запросы к разным сайтам проходят, причём по имени
-skype воркает
-но сайты как не открывались так и не открываются - настройки "без прокси и тд" я это уже смотрел

MTU?
tcp adjust-mss ???


07 ноя 2017, 17:31
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 14 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: ikiliikkuja и гости: 82


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB