Почему перестали работать правила nat на Cisco?

Question

[mrbalearic]

Добрый день!
Есть Cisco C881.

Приходил интернет и телефония по одному проводу воткнутому в wan, поменяли провайдера Интернет, телефонию оставили, переткнули провод в обычный порт.

Было:

spoiler

interface FastEthernet4
description MTS Phone SIP
ip address 10.186.32.186 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet4.1536
description MTS internet
encapsulation dot1Q 1536
ip address 89.251.104.190 255.255.255.252
ip access-group PORT_FORWARDING in
ip nat enable
ip virtual-reassembly in
!

ip nat source list LOCAL_NAT interface FastEthernet4.1536 overload
ip nat inside source list SIP_NAT interface FastEthernet4 overload
ip nat inside source static udp 10.11.12.13 5060 interface FastEthernet4 5060

ip route 10.186.0.32 255.255.255.240 10.186.32.185

ip access-list extended SIP_NAT
permit ip host 10.11.12.13 10.186.0.32 0.0.0.15
!

Стало:

spoiler

interface FastEthernet2
switchport access vlan 6
no ip address
!
interface Vlan6
description MTS Phone SIP
ip address 10.186.32.186 255.255.255.252
ip nat outside
ip virtual-reassembly in
!

ip nat inside source static udp 10.11.12.13 5060 interface Vlan6 5060
ip nat inside source list SIP_NAT interface Vlan6 overload

ip route 10.186.0.32 255.255.255.240 10.186.32.185

ip access-list extended SIP_NAT
permit ip host 10.11.12.13 10.186.0.32 0.0.0.15
!

Почему правила перестали работать? И МТС теперь видит наш Ip asterisk 10.11.12.13, вместо 10.186.32.186
Соответственно телефония грамотно не работает. От них к нам ничего не доходит.

Answer 1

[Михаил Хорев]

Выскажу предположение, что дело в интерфейсах
Есть два механизма NAT - через ip nat inside|outside и через ip nat enable
Вам нужно определиться, какой механизм хотите использовать и перевести все на него.

И конфиг похоже не полный. В "было" нет ip nat inside
В "Стало" - вообще только один интерфейс с IP-адресом.

Было:
interface FastEthernet4
ip nat outside
!
interface FastEthernet4.1536
ip nat enable

Стало:
interface Vlan6
ip nat inside

Answer 2

[mrbalearic]

Чего именно не хватает? Я выложил лишь то, что относится к этим моментам. В "стало" не стал выкладывать интерфейс с новым Интернетом (Wan).
Суть в том, что я просто перенес с wan на обычный телефонию, сохранив все настройки и правила как были. Но работать они перестали.

Там тоже outside.. ошибся. Поправил в посте.

Answer 3

[Aleksey Klimenko]

Попробуйте настроить Policy NAT через route-map.

!
ip nat inside source route-map To-ISP1 interface GigabitEthernet0/1
route-map To-ISP1 permit 10
match ip address INTERNET-ACL
match interface GigabitEthernet0/1
!
ip nat inside source route-map To-ISP2 interface GigabitEthernet0/2
route-map To-ISP2 permit 10
match ip address INTERNET-ACL
match interface GigabitEthernet0/2
!
В INTERNET-ACL интересующий вас трафик.

Такой вариант работает нормально на маршрутизаторах 29хх, на 8хх серии работал на версии ios начиная с 15.2 или 15.3, не помню точно.