Почему перестали работать статические трансляции NAT на роутере Cisco?

Question

[Вадим Чопоров]

Добрый день.
Подскажите, в какую сторону копать - 2 дня бьюсь, ничего путного не выходит. Суть проблемы:
Имеем роутер Cisco 2921 настроенный на работу с 2 провайдерами, cef per-destination работает. Настройка выполнена по аналогии с www.cisco.com/c/en/us/support/docs/ip/network-addr... Разница в прописи маршрутов, в моем случае указаны 2 дефолтных маршрута - через обоих провов (оба прова приходят по оптике, у одного адрес по DHCP, у другого статический адрес isp2.isp2.isp2.isp2/30), с одинаковыми метриками:
...
ip route 0.0.0.0 0.0.0.0 isp1.isp1.isp1.isp1
ip route 0.0.0.0 0.0.0.0 isp2.isp2.isp2.isp2
...
Помимо динамического NAT, есть правила статического NAT. Работало до 1 прекрасного момента все нормально, но теперь статические трансляции через провайдера isp2 перестали отрабатывать - но в ip nat translations отображаются трансляции - они создались корректно, но клиент отклика не получает и откидывается по тайм-ауту. При этом через isp1 - все работает нормально (статические трансляции сделаны одинаково через обоих провов). Если удаляю дефолтный маршрут через isp1 - то NAT трансляции через isp2 начинают работать без проблем. Так же довольно любопытно, что NAT не возвращает верно ответ на запрос через isp2 (если оба дефолтных маршрута прописаны) только если клинеты стучаться от любых других провайдеров, но от клиентов этого же провайдера (isp2) - все ок. Если нужен конкретный пример конфига - готов предоставить. Буду благодарен любым наводкам, спасибо!

Answer 1

[RazorBlade]

Ссылка у вас неправильная, поэтому выложите конфиг.
Судя по симптомам, у вас неправильно работают route-map, и ответы на пакеты пришедшие через второго провайдера, уходят через первого.

Comments

[Вадим Чопоров]

Интересующая часть конфига вот:
ip cef

interface GigabitEthernet0/0.100
description *** LAN ***
encapsulation dot1Q 100 native
ip address 192.168.100.50 255.255.255.0
ip access-group LAN-to-WAN_Services in
ip nat inside
ip virtual-reassembly in
ip policy route-map PBR1
no cdp enable

interface GigabitEthernet0/1.81
description *** WAN1 ***$ETH-WAN$
bandwidth 5000
bandwidth receive 15000
encapsulation dot1Q 81 native
ip address x.x.x.x+1 255.255.255.252
ip access-group WAN1_FILTER_IN in
ip nbar protocol-discovery ipv4
ip flow monitor FLOW_MONITOR_WAN1_IN input
ip flow monitor FLOW_MONITOR_WAN1_OUT output
ip nat outside
ip virtual-reassembly in
no cdp enable
crypto map CMAP_1

interface GigabitEthernet0/2
description *** WAN4 ***
bandwidth 29000
ip address dhcp
ip access-group WAN4_FILTER_IN in
ip nbar protocol-discovery ipv4
ip flow monitor FLOW_MONITOR_WAN4_IN input
ip flow monitor FLOW_MONITOR_WAN4_OUT output
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
crypto map CMAP-STSVPN-MTS

ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 0.0.0.0 0.0.0.0 y.y.y.y

ip access-list extended NAT_SELECTOR
....
permit ip object-group GRP_DMZ_HOSTS_ALL any
deny ip any any

ip access-list extended WAN4_Services
remark ***VTB-Bank***
permit tcp any host 194.158.195.68 eq www
permit tcp any host 194.158.195.68 eq 443

ip access-list extended WAN1_Services
permit tcp any any eq smtp
permit tcp any any eq pop3
permit udp host 192.168.100.2 host z.z.z.z eq isakmp
permit udp host 192.168.100.2 host z.z.z.z eq non500-isakmp
permit esp host 192.168.100.2 host z.z.z.z
permit tcp host 192.168.100.2 host z.z.z.z eq 4500

route-map PBR1 permit 10
match ip address WAN4_Services
set ip next-hop verify-availability y.y.y.y
!
route-map PBR1 permit 20
match ip address WAN1_Services
set ip next-hop verify-availability x.x.x.x

route-map NAT_WAN4 permit 10
match ip address NAT_SELECTOR
match interface GigabitEthernet0/2

route-map NAT_WAN1 permit 10
match ip address NAT_SELECTOR
match interface GigabitEthernet0/1.81

ip nat inside source route-map NAT_WAN1 interface GigabitEthernet0/1.81 overload
ip nat inside source route-map NAT_WAN4 interface GigabitEthernet0/2 overload
ip nat inside source static tcp 192.168.100.2 443 x.x.x.x+1 443 extendable

В кратце - WAN4_Services - проблемы у банка с оператором, потому интернет-банкинг идет жестко через gi0/2. WAN1_Services - почта и внутри в дмз есть пир для ipsecVPN - потому жестко к gi0/1.81. В NAT_SELECTOR предыдущие пару правил - запреты коннектов между сетями, подключенными по VPN.
ip cef - работает на всех интерфейсах, отключал на внутреннем сабе - без изменений.

[Вадим Чопоров]

Да забыл добавить - подсеть 192.168.100.0/24 - DMZ, в нем находится файрвол, через который организуется доступ дальше в сеть, и пару служебных серваков.

[Вадим Чопоров]

И ацли на самих интерфейсах:

ip access-list extended LAN-to-WAN_Services
deny udp any any eq netbios-ns netbios-dgm
permit icmp any any echo
permit tcp any any eq ftp
permit ip object-group GRP_DMZ_HOSTS_ALL any
deny ip any any log

ip access-list extended WAN1_FILTER_IN
remark ---deny all fragments---
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
remark ---permit some ICMP traffic---
permit icmp any object-group WAN1_IP echo
permit icmp any object-group WAN1_IP echo-reply
permit icmp any object-group WAN1_IP unreachable
permit icmp any object-group WAN1_IP ttl-exceeded
remark ---deny all other ICMP traffic---
deny icmp any any
remark ---deny traffic from dedicated address ranges---
deny ip 10.0.0.0 0.255.255.255 any
deny ip 172.16.0.0 0.15.255.255 any
deny ip 192.168.0.0 0.0.255.255 any
deny ip 127.0.0.0 0.255.255.255 any
deny ip 224.0.0.0 15.255.255.255 any
deny ip host 0.0.0.0 any
remark ---deny traffic with ip options---
deny ip any any option any-options
remark ---deny packets with low TTL---
deny ip any any ttl lt 2
remark ---deny traffic from own ip-address---
deny ip object-group WAN1_IP object-group WAN1_IP
deny ip object-group WAN2_IP object-group WAN1_IP
remark ---deny NetBIOS and SMB traffic---
deny udp any any eq 135
deny udp any any eq netbios-dgm
deny tcp any any eq 139
deny udp any any eq 445
deny tcp any any eq 445
remark ---permit all other traffic---
permit ip any any
remark ---deny all other traffic (explicitly)---
deny ip any any

ip access-list extended WAN4_FILTER_IN
remark *** WAN4 inbound filter ***
remark ---deny all fragments---
deny tcp any any fragments
deny udp any any fragments
deny icmp any any fragments
deny ip any any fragments
remark ---permit some ICMP traffic---
permit icmp any object-group WAN4_IP echo
permit icmp any object-group WAN4_IP echo-reply
permit icmp any object-group WAN4_IP unreachable
permit icmp any object-group WAN4_IP ttl-exceeded
remark ---deny all other ICMP traffic---
deny icmp any any
remark ---deny packets with low TTL---
deny ip any any ttl lt 2
remark ---permit all other traffic---
permit ip any any
remark ---deny all other traffic (explicitly)---
deny ip any any

[RazorBlade]

Во первых не вижу статического НАТа на второго (WAN4) провайдера, про которого вы говорили вначале.
А во вторых, так как в статическом нате транслируется адрес самого интерфейса, то не хватает роут-мапа для локального трафика:
route-map LOCAL permit 10
match ip address 50
set ip next-hop ISP1-GW
!
route-map LOCAL permit 20
match ip address 51
set ip next-hop ISP2-GW
!
access-list 50 permit ISP1_int_address - ваш x.x.x.x+1
access-list 51 permit ISP2_int_address
!
ip local policy route-map LOCAL

[Вадим Чопоров]

RazorBlade: по первому, да, пропустил, строчка ровно та же, только адрес прова другой:
ip nat inside source static tcp 192.168.100.2 443 y.y.y.y 443 extendable

А по второму не совсем догоняю:
мы разрешаем трафик через 2-ух провайдеров, в роут-мапе говорим, сначала идти через ISP1, и вешаем политикой на ... Я так понимаю - на внешние интерфейсы?? и помогать она будет с тем, что когда трафик будет идти назад - политика будет указывать жестко на какой шлюз дальше кидать, т.е. сохранять путь назад неизменным?
Спасибо.

[RazorBlade]

Вадим Чопоров: Грубо говоря, ip local policy route-map говорит маршрутизатору как обрабатывать пакеты адресованные или сгенерированные самим маршрутизатором. А так как ваши static nat висят на IP адресах назначенных на интерфейсы маршрутизатора, то и обрабатывать он их будет согласно локальной политике. Хотя я тут могу ошибаться, более продвинутые коллеги могут поправить.
То есть в вашем случае, когда пакет приходит на адрес WAN4 он транслируется во внутренний, а ответ маршрутизатор отправляет с обратной трансляцией, но уже в сторону WAN1 и естественно провайдер его дропает, т.к. соурс адрес стоит от WAN4. И как раз ip local policy route-map говорит маршрутизатору, что куда отправлять.

[Вадим Чопоров]

RazorBlade: понятно, спасибо. Добавил данную конструкцию в свой конфиг (политику повесил на внешние интерфейсы)- вроде открывается, но с задумчивостью секунд в 10. Примерно такое же поведение, если отключаю cef, но при выключенном cef все тормозит, хотя проц не показывает особого роста нагрузки. Но спустя некоторое время при отключенном cef доступность пропадает полностью. Помониторю - как будет себя вести сейчас. Отпишусь. В любом случае СПАСИБО.)
PS. При работе с 1 маршрутом, или если метрику второго провайдера понизить - то все летает((

[RazorBlade]

Вадим Чопоров: Политику не надо вешать на внешние интерфейсы - она локальная.
ip local policy route-map LOCAL

[Вадим Чопоров]

RazorBlade: к сожалению, ситуация не изменилась, пока оба маршрута равнозначны - отклика нет, за редким исключением. Когда выставляю метрику у ISP2 больше, или вообще удаляю - все ходит отлично... Пока не понимаю, что еще может быть не так. Указывал так же весь трафик https гнать через ISP1 - добавлял правило в WAN1_Services - так же безрезультатно.

[RazorBlade]

Вадим Чопоров: Так как у вас настроены политики, то можно выставлять разные метрики в дефолтных маршрутах.

[Вадим Чопоров]

RazorBlade: Почитал подробнее про локальную политику - спасибо, раньше не обращал внимания на трафик генерящийся самим маршиком. Но проблема, что он одинаково ведет себя и с локальной политикой, и без нее. Пока сделал с разной метрикой, но у меня политиками разруливается только интересующий меня трафик - и при разной метрике основной поток (http, https и т.п.) гонится через ISP с меньшей метрикой. Если же привязываю в политике трафик https к маршруту с большей метрикой - то трафик https перестает вообще ходить, ни я достучаться до сайтов на https не могу. ни у меня трансляция не работает. Пока вот такая печальная картина.
В любом случае спасибо за помощь)

[RazorBlade]

Вадим Чопоров: Тогда думаю стоит погуглить информацию по PBR с двумя провайдерами - годных статей полно где все разжевано и уже на их базе подпилить конфиг под свои реалии. То, что это работает могу сказать точно, т.к. у самого выход в интернет идет по двум провайдерам для разных сетей/протоколов и так же дефолтные маршруты стоят с разной метрикой.

[Вадим Чопоров]

RazorBlade: ок, спасибо)