URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23900
[ Назад ]
Исходное сообщение
"Cisco NAT"
Отправлено McS555 , 26-Июн-12 10:40 
Добрый день!!

Может кто то сталкивался с проблемой и знает в чем косяк :

Настроен стандартный нат :

!
interface FastEthernet0
description -=[ internet ]=-
ip address 55.54.232.18 255.255.255.248
ip nat outside
!
interface Virtual-Template1
description -=[ PPTP ]=-
ip unnumbered FastEthernet1
ip nat inside
!
interface Vlan10
ip address 192.168.1.1 255.255.255.0
!
!
interface Vlan11
description -=[ Wi-Fi  ]=-
ip address 10.10.10.1 255.255.255.0
ip nat inside
!
ip access-list extended NAT
permit ip 192.168.1.0 0.0.0.255 any
permit ip 10.10.9.0 0.0.0.255 any
permit ip 10.10.10.0 0.0.0.255 any
!
ip nat inside source list NAT interface FastEthernet0 overload
!


Так вот, все до поры до времени работает! Но через какое то время появляеться запись в таблице нат с 0-м портом и внешний итерфейс падает (ipsec, gre, нет возможности подключиться уже по пптп). Но!! при этом продолжает работать нат и проброс портов из вне!

запись имеет вид

Pro Inside global         Inside local          Outside local         Outside global
--- 55.54.232.18:0        10.10.9.3:0          ---                   ---

или

Pro Inside global         Inside local          Outside local         Outside global
tcp 55.54.232.18:0    10.10.10.4:0     122.19.227.34:0   122.19.227.34:0

и т.д.

Только появляеться запись с 0 ВСЕ! Помогает либо снятие ната с внешнего интерфейса ( no ip nat outside - правда если назад цепляю опять все валиться) либо очистка таблицы нат - тогда начинает все работать (может 5 часов, может двое суток)

Есть у когото какието идеи?? (Я пока "пирипилил" аксес лист - буду разрешать натиться портом юдп и тсп с 1 по 65000)

Заранее благодарен!


Содержание
Сообщения в этом обсуждении
"Cisco NAT"
Отправлено McS555 , 27-Июн-12 09:37 
Хоть какие то идеи может есть! :((
"Cisco NAT"
Отправлено VolanD , 27-Июн-12 11:19 
>[оверквотинг удален]
> tcp 55.54.232.18:0    10.10.10.4:0     122.19.227.34:0  
>  122.19.227.34:0
> и т.д.
> Только появляеться запись с 0 ВСЕ! Помогает либо снятие ната с внешнего
> интерфейса ( no ip nat outside - правда если назад цепляю
> опять все валиться) либо очистка таблицы нат - тогда начинает все
> работать (может 5 часов, может двое суток)
> Есть у когото какието идеи?? (Я пока "пирипилил" аксес лист - буду
> разрешать натиться портом юдп и тсп с 1 по 65000)
> Заранее благодарен!

А дебаг чо говорит?

"Cisco NAT"
Отправлено McS555 , 02-Июл-12 11:20 

> А дебаг чо говорит?

Дебаг чего? Просто нат то продолжает фурычить(нет пинга на внешний интерфейс, не пашет pptp? ipsec).
При какой вообще ситуации может появляться запись в нат таблице на 0 порт? ((


"Cisco NAT"
Отправлено AlexDv , 27-Июн-12 12:10 
> Добрый день!!
> Может кто то сталкивался с проблемой и знает в чем косяк :
> Настроен стандартный нат :
> Так вот, все до поры до времени работает! Но через какое то
> время появляеться запись в таблице нат с 0-м портом и внешний
> итерфейс падает (ipsec, gre, нет возможности подключиться уже по пптп). Но!!
> при этом продолжает работать нат и проброс портов из вне!

[skipped]

> Только появляеться запись с 0 ВСЕ! Помогает либо снятие ната с внешнего
> интерфейса ( no ip nat outside - правда если назад цепляю
> опять все валиться) либо очистка таблицы нат - тогда начинает все
> работать (может 5 часов, может двое суток)

Я бы начал с
ip nat translation tcp-timeout 300
ip nat translation udp-timeout 300
ip nat translation max-entries list NAME 100


"Cisco NAT"
Отправлено McS555 , 02-Июл-12 11:22 

> Я бы начал с
> ip nat translation tcp-timeout 300
> ip nat translation udp-timeout 300
> ip nat translation max-entries list NAME 100

А под таймеры попадет запись :
--- 55.54.232.18:0        10.10.9.3:0          ---                   ---

Тем более это запись выглядит иногда как проброс порта (и наверное эта запись не попадет под правило max-entries )