ipsec+NAT

@Davor · Регистрация: 01.11.2010

День добрый, коллеги!
Помогите решить задачку: есть два клиента, которые не согласовали политики безопасности между собой. Задача - выступить в роли прокладки между ними, подстраиваясь под политики каждой стороны.
Во вложении - схема сети и конфиг.
Необходимо, что бы оба сервера могли инициировать подключение. При этом что бы сервер А инициировал подключение на "белый" адрес, который бы транслировался в "серый" для достижения сервера В. А сервер В, в свою очередь, мог бы инициировать подключение на "серый" адрес, который бы транслировался в "белый". Так же необходимо, что бы "белый" адрес (для сервера А) отличался от адреса пира для ipsek.
Может у кого то были подобные задачи... Конфиг, который предоставлен, не отработал. Туннели поднимаются, но NAT не срабатывает. Поправьте, что не так. Ну и вообще - возможно ли реализовать подобное на одной железке?

Jabbson · 09.12.2012, 02:49

День добрый.
Да, это возможно.
Буду краток, покажу сразу в действии:

(в приложении - топология и проверка)

server_a

ip address = 1.1.1.1 /24
default gateway = 1.1.1.2

r2

Код

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2

crypto isakmp key AB address 1.1.2.2

crypto ipsec transform-set TSET esp-3des esp-sha-hmac 

crypto map CMAP1 1 ipsec-isakmp 
 set peer 1.1.2.2
 set transform-set TSET 
 match address AB_ACL

interface FastEthernet0/0
 ip address 1.1.2.1 255.255.255.0
 crypto map CMAP1

interface FastEthernet0/1
 ip address 1.1.1.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 1.1.2.2

ip access-list extended AB_ACL
 permit ip host 1.1.1.1 host 3.3.3.2

r3

Код

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2

crypto isakmp policy 20
 hash md5
 authentication pre-share

crypto isakmp key AB address 1.1.2.1
crypto isakmp key BA address 2.2.2.1

crypto ipsec transform-set TSET esp-3des esp-sha-hmac 

crypto map CMAP1 1 ipsec-isakmp 
 set peer 1.1.2.1
 set transform-set TSET 
 match address AB_ACL

crypto map CMAP2 1 ipsec-isakmp 
 set peer 2.2.2.1
 set transform-set TSET 
 match address BA_ACL

interface FastEthernet0/0
 ip address 1.1.2.2 255.255.255.0
 ip nat inside
 crypto map CMAP1

interface FastEthernet0/1
 ip address 2.2.2.2 255.255.255.0
 ip nat outside
 crypto map CMAP2

ip route 1.1.1.1 255.255.255.255 1.1.2.1
ip route 3.3.3.2 255.255.255.255 2.2.2.1

ip nat inside source static 1.1.1.1 172.18.10.233
ip nat outside source static 2.2.3.1 3.3.3.2

ip access-list extended AB_ACL
 permit ip host 3.3.3.2 host 1.1.1.1

ip access-list extended BA_ACL
 permit ip host 172.18.10.233 host 2.2.3.1

r4

Код

crypto isakmp policy 20
 hash md5
 authentication pre-share

crypto isakmp key BA address 2.2.2.2

crypto ipsec transform-set TSET esp-3des esp-sha-hmac 

crypto map CMAP1 2 ipsec-isakmp 
 set peer 2.2.2.2
 set transform-set TSET 
 match address BA_ACL

interface FastEthernet0/0
 ip address 2.2.3.2 255.255.255.0

interface FastEthernet0/1
 ip address 2.2.2.1 255.255.255.0
 crypto map CMAP1

ip route 0.0.0.0 0.0.0.0 2.2.2.2

ip access-list extended BA_ACL
 permit ip host 2.2.3.1 host 172.18.10.233

server_b

ip address = 2.2.3.1 /24
default gateway = 2.2.3.2

@Davor · 09.12.2012, 21:11 **[ТС]**

Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает

Jabbson · 09.12.2012, 23:42

Тогда через тот самый nvi.

Jabbson · 10.12.2012, 00:00

а, ну и проверка:

@Davor · 10.12.2012, 12:00 **[ТС]**

Сообщение от Jabbson

Тогда через тот самый nvi.

туннель держит тот же самый роутер, на котором осуществляется NAT. И обязательные условия:
сервер А должен обращаться к адресу 3.3.3.2 и получать с этого же адреса ответ.
Сервер В должен получать запросы от адреса 172.18.10.233 и обращаться на него же.

Попробовал переделать конфиг, как посоветовали. Вот на такой. Может я что то не так понял? Но пакеты не проходят ни в одну сторону...

Jabbson · 10.12.2012, 12:03

в моем конфиге все именно так и есть
продемонстрировать ip на конечных точках?

@Davor · 10.12.2012, 12:21 **[ТС]**

Сообщение от Jabbson

в моем конфиге все именно так и есть
продемонстрировать ip на конечных точках?

Если можно.
Хотя почему то у меня пакеты не проходят...

Jabbson · 10.12.2012, 12:36

Вот тут должно быть видно все.

@Davor · 10.12.2012, 12:40 **[ТС]**

Сообщение от Jabbson

Вот тут должно быть видно все.

да, спасибо, вижу. Посмотрите, пожалуйста, мой конфиг (чуть выше), я там где то ошибся или в целом идею не так понял?

Jabbson · 10.12.2012, 12:53

Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.

@Davor · 10.12.2012, 13:02 **[ТС]**

Сообщение от Jabbson

Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель.

да, туннель терминируется на 3.3.3.1, а обращение сервера идёт на 3.3.3.2

Jabbson · 10.12.2012, 13:06

может он и терминируется на 3.3.3.1, но в конфиге я вижу

Код

interface FastEthernet0/0
 description Ipsec-2-AB
 ip address 3.3.3.2 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
 crypto map VPN

@Davor · 10.12.2012, 13:11 **[ТС]**

Сообщение от Jabbson

может он и терминируется на 3.3.3.1, но в конфиге я вижу

Код

interface FastEthernet0/0
 description Ipsec-2-AB
 ip address 3.3.3.2 255.255.255.0
 ip nat enable
 duplex auto
 speed auto
 crypto map VPN

опечатка... извиняюсь. Терминируется на 3.3.3.1. А обращение идёт на 3.3.3.2

Jabbson · 10.12.2012, 13:16

почему поменяны местами ip в нат стейтментах?

@Davor · 10.12.2012, 13:21 **[ТС]**

Сообщение от Jabbson

почему поменяны местами ip в нат стейтментах?

ip nat source static 3.3.3.2 2.2.3.1
ip nat source static 172.18.10.233 1.1.1.1

это? Local, Global. Верно же вроде

Jabbson · 10.12.2012, 13:26

Код

R3#show run | i ip nat source
ip nat source static 2.2.3.1 3.3.3.2
ip nat source static 1.1.1.1 172.18.10.233

R3#show ip nat nvi translations
Pro Source global      Source local       Destin  local      Destin  global
--- 172.18.10.233      1.1.1.1            ---                ---
--- 3.3.3.2            2.2.3.1            ---                ---

пускаем пинг и смотрим дебаг и снова трансляцию:

Код

R3#
*Mar  1 00:58:27.595: NAT*: i: icmp (1.1.1.1, 15) -> (3.3.3.2, 15) [35]
*Mar  1 00:58:27.595: NAT*: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [35]
*Mar  1 00:58:27.599: NAT*: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [35]
*Mar  1 00:58:27.815: NAT*: i: icmp (2.2.3.1, 15) -> (172.18.10.233, 15) [35]
*Mar  1 00:58:27.815: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [35]
*Mar  1 00:58:27.815: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [35]

R3#show ip nat nvi translations
Pro Source global      Source local       Destin  local      Destin  global
icmp 172.18.10.233:15  1.1.1.1:15         3.3.3.2:15         2.2.3.1:15
--- 172.18.10.233      1.1.1.1            ---                ---
--- 3.3.3.2            2.2.3.1            ---                ---

@Davor · 11.12.2012, 13:46 **[ТС]**

с натом вроде бы разобрался... туннели поднялись. Но пинги не пролезают. Вот такая картинка на нат трансляции

SPP-R2801#show ip nat nvi translations
Pro Source global Source local Destin local Destin global
icmp 3.3.3.2:35364 2.2.3.1:35364 172.18.10.233:35364 1.1.1.1:35364
--- 3.3.3.2 2.2.3.1 --- ---
--- 172.18.10.233 1.1.1.1 --- ---

А вот это - часть дебага icmp

.Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2
.Dec 11 09:25:14.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry
.Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing failed
.Dec 11 09:25:14.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB
.Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1
.Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing succeeded
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, Post-routing NAT NVI Output(19), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature
.Dec 11 09:25:14.843: ICMP type=0, code=0, Stateful Inspection(22), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, rcvd local pkt
.Dec 11 09:25:14.843: ICMP type=0, code=0
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature
.Dec 11 09:25:16.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2
.Dec 11 09:25:16.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry
.Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing failed
.Dec 11 09:25:16.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB
.Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1
.Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing succeeded

А это - кусочек дебага ната

.Dec 11 09:42:10.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:10.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:10.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:10.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18925]
.Dec 11 09:42:10.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18925]
.Dec 11 09:42:10.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18925]
.Dec 11 09:42:12.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:12.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:12.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:12.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18926]
.Dec 11 09:42:12.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18926]
.Dec 11 09:42:12.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18926]
.Dec 11 09:42:14.881: NAT*: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0]
.Dec 11 09:42:14.881: NAT*: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0]
.Dec 11 09:42:14.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0]
.Dec 11 09:42:14.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18927]
.Dec 11 09:42:14.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18927]
.Dec 11 09:42:14.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18927]

Jabbson · 11.12.2012, 14:56

То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?

@Davor · 11.12.2012, 15:08 **[ТС]**

Сообщение от Jabbson

То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети?

из одной. Внешний - 3.3.3.1\24, адрес на который обращается 1.1.1.1 - 3.3.3.2

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	09.12.2012, 21:11 [ТС]	3
	Спасибо. Но проблемка в том, что внешний интерфейс только один. И вот тут немного не ясно, как прикручивать NAT... Попробовал к Loopback, но что то не срабатывает 0

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	10.12.2012, 00:00	5
	а, ну и проверка: 0 Миниатюры

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	10.12.2012, 12:03	7
	в моем конфиге все именно так и есть продемонстрировать ip на конечных точках? 0

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	10.12.2012, 12:21 [ТС]	8
	Сообщение от Jabbson в моем конфиге все именно так и есть продемонстрировать ip на конечных точках? Если можно. Хотя почему то у меня пакеты не проходят... 0

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	10.12.2012, 12:36	9
	Вот тут должно быть видно все. 0 Миниатюры

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	10.12.2012, 12:40 [ТС]	10
	Сообщение от Jabbson Вот тут должно быть видно все. да, спасибо, вижу. Посмотрите, пожалуйста, мой конфиг (чуть выше), я там где то ошибся или в целом идею не так понял? 0

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	10.12.2012, 12:53	11
	Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель. 0

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	10.12.2012, 13:02 [ТС]	12
	Сообщение от Jabbson Статика лишняя, кроме ласт резорта, проверьте туннели (статусы isakmp, ipsec), делайте дебаги пакетов, ната и icmp смотрите, что происходит, а что уже нет, каунтеры на туннелях. Плюс, Вы говорили, что обращение должно быть не на адрес, куда терминируется туннель. да, туннель терминируется на 3.3.3.1, а обращение сервера идёт на 3.3.3.2 0

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	10.12.2012, 13:06	13
	может он и терминируется на 3.3.3.1, но в конфиге я вижу Код interface FastEthernet0/0 description Ipsec-2-AB ip address 3.3.3.2 255.255.255.0 ip nat enable duplex auto speed auto crypto map VPN 0

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	10.12.2012, 13:11 [ТС]	14
	Сообщение от Jabbson может он и терминируется на 3.3.3.1, но в конфиге я вижу Код interface FastEthernet0/0 description Ipsec-2-AB ip address 3.3.3.2 255.255.255.0 ip nat enable duplex auto speed auto crypto map VPN опечатка... извиняюсь. Терминируется на 3.3.3.1. А обращение идёт на 3.3.3.2 0

	09.12.2012, 23:42

	11.12.2012, 15:08

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	10.12.2012, 13:16	15
	почему поменяны местами ip в нат стейтментах? 0

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	10.12.2012, 13:21 [ТС]	16
	Сообщение от Jabbson почему поменяны местами ip в нат стейтментах? ip nat source static 3.3.3.2 2.2.3.1 ip nat source static 172.18.10.233 1.1.1.1 это? Local, Global. Верно же вроде 0

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	11.12.2012, 13:46 [ТС]	18
	с натом вроде бы разобрался... туннели поднялись. Но пинги не пролезают. Вот такая картинка на нат трансляции SPP-R2801#show ip nat nvi translations Pro Source global Source local Destin local Destin global icmp 3.3.3.2:35364 2.2.3.1:35364 172.18.10.233:35364 1.1.1.1:35364 --- 3.3.3.2 2.2.3.1 --- --- --- 172.18.10.233 1.1.1.1 --- --- А вот это - часть дебага icmp .Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:14.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:14.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:14.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:14.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:14.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:14.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2 .Dec 11 09:25:14.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry .Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing failed .Dec 11 09:25:14.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB .Dec 11 09:25:14.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1 .Dec 11 09:25:14.843: FIBipv4-packet-proc: packet routing succeeded .Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature .Dec 11 09:25:14.843: ICMP type=0, code=0, Post-routing NAT NVI Output(19), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, output feature .Dec 11 09:25:14.843: ICMP type=0, code=0, Stateful Inspection(22), rtype 1, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:14.843: IP: s=172.18.10.233 (FastEthernet0/0), d=2.2.3.1 (FastEthernet0/0), len 84, rcvd local pkt .Dec 11 09:25:14.843: ICMP type=0, code=0 .Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:16.839: ICMP type=0, code=0, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:16.839: ICMP type=0, code=0, Access List(28), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:16.839: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:16.843: ICMP type=0, code=0, IPSec input classification(33), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:16.843: IP: s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2, len 84, input feature .Dec 11 09:25:16.843: ICMP type=0, code=0, MCI Check(66), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE .Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 1.1.1.1 dst 3.3.3.2 .Dec 11 09:25:16.843: FIBfwd-proc: Default:3.3.3.2/32 recieve entry .Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing failed .Dec 11 09:25:16.843: IP: tableid=0, s=1.1.1.1 (FastEthernet0/0), d=3.3.3.2 (FastEthernet0/0), routed via RIB .Dec 11 09:25:16.843: FIBipv4-packet-proc: route packet from FastEthernet0/0 src 172.18.10.233 dst 2.2.3.1 .Dec 11 09:25:16.843: FIBipv4-packet-proc: packet routing succeeded А это - кусочек дебага ната .Dec 11 09:42:10.881: NAT: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0] .Dec 11 09:42:10.881: NAT: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0] .Dec 11 09:42:10.881: NAT: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0] .Dec 11 09:42:10.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18925] .Dec 11 09:42:10.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18925] .Dec 11 09:42:10.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18925] .Dec 11 09:42:12.881: NAT: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0] .Dec 11 09:42:12.881: NAT: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0] .Dec 11 09:42:12.881: NAT: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0] .Dec 11 09:42:12.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18926] .Dec 11 09:42:12.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18926] .Dec 11 09:42:12.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18926] .Dec 11 09:42:14.881: NAT: i: icmp (2.2.3.1, 35364) -> (172.18.10.233, 35364) [0] .Dec 11 09:42:14.881: NAT: s=2.2.3.1->3.3.3.2, d=172.18.10.233 [0] .Dec 11 09:42:14.881: NAT*: s=3.3.3.2, d=172.18.10.233->1.1.1.1 [0] .Dec 11 09:42:14.941: NAT: i: icmp (1.1.1.1, 35364) -> (3.3.3.2, 35364) [18927] .Dec 11 09:42:14.941: NAT: s=1.1.1.1->172.18.10.233, d=3.3.3.2 [18927] .Dec 11 09:42:14.941: NAT: s=172.18.10.233, d=3.3.3.2->2.2.3.1 [18927] 0

Jabbson 3462 / 2505 / 776 Регистрация: 03.11.2009 Сообщений: 7,940 Записей в блоге: 3
	11.12.2012, 14:56	19
	То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети? 0

@Davor 0 / 0 / 0 Регистрация: 01.11.2010 Сообщений: 16
	11.12.2012, 15:08 [ТС]	20
	Сообщение от Jabbson То есть мы видим трансляцию туда и обратно - значит проблема или роутинга или туннелирования. Сдается мне - роутинга. У Вас адрес на который обращается 1.1.1.1 и Ваш внешний интерфейс не из одной подсети? из одной. Внешний - 3.3.3.1\24, адрес на который обращается 1.1.1.1 - 3.3.3.2 0