Anticisco
http://anticisco.ru/forum/

ip nat source static
http://anticisco.ru/forum/viewtopic.php?f=2&t=10531
Страница 1 из 1

Автор:  MikeloVV [ 12 июн 2018, 15:28 ]
Заголовок сообщения:  ip nat source static

День добрый коллеги!
Прошу помощи, а то совсем котелок не варит, что-то не доделал, а что не могу сообразить...
Есть 2921 прикручен на внешнем интерфейсе белый адрес Х.У.131.34 и еще в придачу выдано несколько адресов как и из этой подсети, так и другой У.Х.250.38...
Встала задача сделать связку внутренний хост 10.10.100.41<--->внешний адрес У.Х.250.38
ip nat inside source static 10.10.100.41 У.Х.250.38
в аксес лист висящий на внешнем добавляю permit ip any host 212.119.250.38
И получаю такую картину, что внутренний хост наружу ходит как и задумано под 250.38, а вот снаружи если лезть, то не отвечает.
Я что-то упустил?

Автор:  MikeloVV [ 12 июн 2018, 17:26 ]
Заголовок сообщения:  Re: ip nat source static

Дополнительно...
Поставил вайршарк на хост, пакеты снаружи до него долетают и он отвечает...
Картина такова..
Когда инициатор сессий хост, то все работает как надо...
Когда инициатор сессий кто-то снаружи, то пакет долетает до хоста, хост шлет ответ и усе... пакет потерялся :?

Автор:  MikeloVV [ 12 июн 2018, 18:29 ]
Заголовок сообщения:  Re: ip nat source static

Дополнительно 2 :lol:
Виновник нашелся, оказывается в промежутке стоит ASA с PBR'ом так когда хост инициатор, то все работает как надо..
А когда хост отвечает на запросы снаружи, то он шлет ответ, но вот на ASA получаем болт в виде Routing failed to locate next hope...
Если кто-то в курсе что не так, дайте знать, а то с разбегу не соображается... При необходимости нарисую что с чем соединили...

Автор:  strabbo [ 12 июн 2018, 19:22 ]
Заголовок сообщения:  Re: ip nat source static

У тебя отлично получается :) копай дальше, еще чуть-чуть и ты решишь проблему :)

Автор:  crash [ 12 июн 2018, 19:28 ]
Заголовок сообщения:  Re: ip nat source static

видимо пора настроить маршрутизацию нормально

Автор:  MikeloVV [ 18 июн 2018, 09:07 ]
Заголовок сообщения:  Re: ip nat source static

crash писал(а):
видимо пора настроить маршрутизацию нормально

Абсолютно верно, на ASA донастроил маршруты и все заработало. Вот чес слово, наверное вопросы и не задавал бы, если сразу владельцы сети признались что за огород у них...

Автор:  MikeloVV [ 10 июл 2018, 14:02 ]
Заголовок сообщения:  Re: ip nat source static

И снова всем привет! Дабы не плодить посты, продолжу здесь, тем более имеет отношение к тому что писал выше...
Разобравшись с топологией сети и все поправив, статическая трансляция заработала как надо и все остались довольны, но не долго :mrgreen:
Возникло желание чтобы этот сервер еще бы и из другого офиса увиделся, ipsec между офисами есть и работает, значит route-map нам в руки... Подправил аксес лист чтобы трафик бегал в туннель, наваял route-map в котором deny с сервера на подсеть на той стороне туннеля которая, дальше permit с сервера на any и переписал static nat но уже с route-map... и вышел конфуз :oops:
С route-map трафик в туннеле бегает туда обратно, все хорошо... Снаружи трансляция отрабатывает и сервер отвечает... А вот с сервера попытка выйти в инет заканчивается обломом..
Убираем route-map с трансляции, снаружи и из нутри все фурычит как надо, но не бегает через туннель (что логично)..
Вот и вопрос, что опять не так? Судя по проблемам, что-то не так с трансляцией, но что? Конфиг пока не вываливаю, там причесывать его надо, по запросу какие-то куски выдам..

Автор:  MikeloVV [ 10 июл 2018, 20:27 ]
Заголовок сообщения:  Re: ip nat source static

Простите коллеги, сам дурак... Нефиг садится за работу не выспавшись... Все прописал правильно, но забыл пару строк
Код:
route-map NAME permit 10
match ip address NAME

:lol:

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/