Tunnel e NAT

Rizio · mar 09 ott , 2012 1:46 pm

Ho un tunnel GRE configurato così:
ROUTER A

interface Tunnel8
 description FASTWEB -> KPNQWEST
 bandwidth 512
 ip address 192.168.255.14 255.255.255.252
 ip mtu 1420
 keepalive 10 3
 tunnel source Vlan201
 tunnel destination aaa.aaa.aaa.aaa
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile TUNNEL-PROFILE

con vlan201 configurata così:

Codice: Seleziona tutto

interface Vlan201
 ip address bbb.bbb.bbb.bbb 255.255.255.248
 ip access-group VPN_OUT out
 ip nat outside
 ip virtual-reassembly

dall'altra parte sono messo così:
ROUTER B

Codice: Seleziona tutto

interface Tunnel8
 description KPNQWEST -> FASTWEB
 bandwidth 512
 ip address 192.168.255.13 255.255.255.252
 ip mtu 1420
 keepalive 10 3
 tunnel source ATM0.1
 tunnel destination bbb.bbb.bbb.bbb
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile TUNNEL-PROFILE

con ATM0.1 configurata così:

Codice: Seleziona tutto

interface ATM0.1 point-to-point
 ip address aaa.aaa.aaa.aaa 255.255.255.252
 ip virtual-reassembly
 pvc 8/35

da un pò di tempo il tunnel è down e non riesco a farlo tornare up. Le macchine si vedono e si pingano correttamente, ma il tunnel non sale più.

Analizzando quello che ho fatto nel tempo, visto che all'inizio funzionava, IMHO è perchè qualche mese fà ho attivato il nat sull'interfaccia vlan201.

Sul ROUTER A come regole di NAT ho semplicemente questo:

Codice: Seleziona tutto

ip nat inside source static 172.18.1.2 interface Vlan201
ip nat inside source static 172.18.1.8 bbb.bbb.bbb.bbb

perchè ho la vlan 2 che è configurata sulla classe 172.18.0.0 e faccio uscire da quel router un proxy e un server (per le query dns).

Mi chiedevo, esiste il modo per dirgli di NON fare nat verso un determinato IP?
Qualcosa tipo l'access-list dell'ASA "nonat"?

Tnk's in advance
Rizio

paolomat75 · mar 09 ott , 2012 2:58 pm

Ciao Rizio,
come è configurato il NAT. Se usi l'ACL postala e dimmi quale rete deve raggiungere.

Paolo

Rizio · mar 09 ott , 2012 3:07 pm

Ciao Paolo,
no, nessuna acl per il nat, è configurato semplice semplice come lo vedi.
L'unica ACL è quella VPN_OUT per protezione.
Deve raggiungere l'ip del router b

Ho provato a toglierlo dall'interfaccia vlan201 e così il tunnel è tornato up, però ora ho le macchine che dovrebbero uscire che non riescono a causa della mancanza del NAT.

Rizio

paolomat75 · mar 09 ott , 2012 3:18 pm

Rizio ha scritto:Ciao Paolo,
no, nessuna acl per il nat, è configurato semplice semplice come lo vedi.
L'unica ACL è quella VPN_OUT per protezione.
Deve raggiungere l'ip del router b

Ho provato a toglierlo dall'interfaccia vlan201 e così il tunnel è tornato up, però ora ho le macchine che dovrebbero uscire che non riescono a causa della mancanza del NAT.

Rizio

Ho letto un po' di corsa ma mi sa che per quello che vuoi fare te bisogna fare il nat con una route-map.

Paolo

Rizio · mar 09 ott , 2012 3:24 pm

paolomat75 ha scritto:Ho letto un po' di corsa ma mi sa che per quello che vuoi fare te bisogna fare il nat con una route-map.

Ok, grazie mille a priori per la risposta.

Intanto ho risolto "sprecando" un ip pubblico per il server che deve fare solo le richieste DNS

Codice: Seleziona tutto

no ip nat inside source static 172.18.1.2 interface Vlan201
ip nat inside source static 172.18.1.2 IP_PUBBLICO_DEL_POOL

così il tunnel è tornato up e anche il resto funziona, poi, se ti devo dire che mi sento un bravo ragazzo a sprecare un IP pubblico solo per delle query DNS la risposta è no, ma ho stampato un documento della Cisco su come lavora il nat e vedo di migliorare il concetto nei prossimi giorni con il PAT o con le route-map come suggerivi tu.

Grazie
Rizio

paolomat75 · mar 09 ott , 2012 4:00 pm

Prego.

Buona serata
Paolo

Rizio · mer 10 ott , 2012 1:45 pm

Paolo, toglimi una curiosità, perchè se provo a sostituire queste righe

Codice: Seleziona tutto

ip nat inside source static 172.18.1.8 xxx.xxx.xxx.99
ip nat inside source static 172.18.1.2 xxx.xxx.xxx.100

con queste:

Codice: Seleziona tutto

ip nat inside source static tcp 172.18.1.8 80 xxx.xxx.xxx.99 80
ip nat inside source static tcp 172.18.1.8 443 xxx.xxx.xxx.99 443
ip nat inside source static tcp 172.18.1.8 20 xxx.xxx.xxx..99 20
ip nat inside source static tcp 172.18.1.8 21 xxx.xxx.xxx..99 21
ip nat inside source static tcp 172.18.1.2 53 xxx.xxx.xxx.99 53
ip nat inside source static udp 172.18.1.2 53 xxx.xxx.xxx..99 53

poi non mi funziona più nulla?
Ho letto un pò di doc riguardo al nat ma si vede che non l'ho ben capito

Cosa stò sbagliando?

Grazie in anticipo
Rizio

paolomat75 · mer 10 ott , 2012 2:00 pm

Rizio ha scritto:Paolo, toglimi una curiosità, perchè se provo a sostituire queste righe
Codice: Seleziona tutto
ip nat inside source static 172.18.1.8 xxx.xxx.xxx.99
ip nat inside source static 172.18.1.2 xxx.xxx.xxx.100
con queste:
Codice: Seleziona tutto
ip nat inside source static tcp 172.18.1.8 80 xxx.xxx.xxx.99 80
ip nat inside source static tcp 172.18.1.8 443 xxx.xxx.xxx.99 443
ip nat inside source static tcp 172.18.1.8 20 xxx.xxx.xxx..99 20
ip nat inside source static tcp 172.18.1.8 21 xxx.xxx.xxx..99 21
ip nat inside source static tcp 172.18.1.2 53 xxx.xxx.xxx.99 53
ip nat inside source static udp 172.18.1.2 53 xxx.xxx.xxx..99 53
poi non mi funziona più nulla?
Ho letto un pò di doc riguardo al nat ma si vede che non l'ho ben capito
Cosa stò sbagliando?

Grazie in anticipo
Rizio

Ciao,
l'unica cosa che vedo è che in alcune righe c'è il doppio punto. É un refuso nel scrivere o è così nella configurazione?

Paolo

Rizio · mer 10 ott , 2012 2:25 pm

paolomat75 ha scritto:l'unica cosa che vedo è che in alcune righe c'è il doppio punto. É un refuso nel scrivere o è così nella configurazione?

E' un refuso della cancellazione degli ip reali, nella conf sono corretti.
Purtroppo così non funziona.
Nel dettaglio; il 172.18.1.8 è un proxy e dovrebbe permettere la navigazione, il 172.18.1.2 è un server e dovrebbe solo eseguire delle query DNS.

Rizio

paolomat75 · mer 10 ott , 2012 2:28 pm

Rizio ha scritto:
paolomat75 ha scritto:l'unica cosa che vedo è che in alcune righe c'è il doppio punto. É un refuso nel scrivere o è così nella configurazione?
E' un refuso della cancellazione degli ip reali, nella conf sono corretti.
Purtroppo così non funziona.
Nel dettaglio; il 172.18.1.8 è un proxy e dovrebbe permettere la navigazione, il 172.18.1.2 è un server e dovrebbe solo eseguire delle query DNS.

Rizio

Ok. Aggiungi alle traduzioni in fondo la keyword extendable.
Cosi dovrebbe andare, se no ha traduzioni ambigue e non va.

Paolo

Rizio · mer 10 ott , 2012 2:30 pm

paolomat75 ha scritto:Ok. Aggiungi alle traduzioni in fondo la keyword extendable.
Cosi dovrebbe andare, se no ha traduzioni ambigue e non va.

Me le ha aggiunte lui in automatico però non funziona uguale. Se comunque dici che così le regole sono formalmente corrette provo a verificare altro. Magari domani ti posto la conf completa, ora devo scappare.

Intanto grazie come sempre
Rizio

paolomat75 · mer 10 ott , 2012 2:32 pm

Rizio ha scritto:
paolomat75 ha scritto:Ok. Aggiungi alle traduzioni in fondo la keyword extendable.
Cosi dovrebbe andare, se no ha traduzioni ambigue e non va.
Me le ha aggiunte lui in automatico però non funziona uguale. Se comunque dici che così le regole sono formalmente corrette provo a verificare altro. Magari domani ti posto la conf completa, ora devo scappare.

Intanto grazie come sempre
Rizio

Ok infatti doveva aggiungerle, ma non avendole viste... OK.
A questo punto bisogna fare del debug

Buona giornata
Paolo

Rizio · lun 15 ott , 2012 11:21 am

paolomat75 ha scritto:A questo punto bisogna fare del debug

Niente, non c'è verso di fare nat solo della porta 53 verso l'esterno.
Se non natto fuori il server con un IP "intero" non c'è verso di far funzionare il forwarder del DNS.
Le righe

Codice: Seleziona tutto

ip nat inside source static tcp 172.18.1.2 53 xxx.xxx.xxx.101 53 extendable
ip nat inside source static udp 172.18.1.2 53 xxx.xxx.xxx.101 53 extendable

non mi permettono di uscire.

Qualcuno riesce a spiegarmelo?

Grazie
Rizio

Tunnel e NAT

Login • Iscriviti