Всем доброго времени суток!
Недавно приобретен Juniper MX80 и сервисная карта MS-MIC-16G для предоствления доступа в интернет по средствам NAT.
Общую конфигурацию накидали и на первый взгляд все работает, но при ближайшем рассмотрении столкнулись с несколькими проблемами:
1. Не проходит от клиента за натом трассировка маршрута, выглядит это следующим образом:
tracert ya.ru
Трассировка маршрута к ya.ru [213.180.204.3]
с максимальным числом прыжков 30:
1 1 ms <1 мс <1 мс 10.10.20.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * * Превышен интервал ожидания для запроса.
8 * * * Превышен интервал ожидания для запроса.
9 * * * Превышен интервал ожидания для запроса.
10 13 ms 13 ms 13 ms www.yandex.ru [213.180.204.3]
В тот же момент ping проходит:
ping ya.ru
Обмен пакетами с ya.ru [93.158.134.3] по 32 байт:
Ответ от 93.158.134.3: число байт=32 время=13мс TTL=53
Ответ от 93.158.134.3: число байт=32 время=13мс TTL=53
Ответ от 93.158.134.3: число байт=32 время=13мс TTL=53
Ответ от 93.158.134.3: число байт=32 время=13мс TTL=57
Статистика Ping для 93.158.134.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 13мсек, Максимальное = 13 мсек, Среднее = 13 мсек
Хотя applications настроены:
applications
application dns-udp-10s {
protocol udp;
source-port 1-65535;
destination-port 53;
inactivity-timeout 10;
}
application https-1800s {
protocol tcp;
destination-port 443;
inactivity-timeout 1800;
}
application icmp-30s {
protocol icmp;
inactivity-timeout 30;
}
application traceroute-30s {
application-protocol traceroute;
protocol udp;
destination-port 33435-33450;
ttl-threshold 30;
inactivity-timeout 30;
}
application xmpp-1800s {
protocol tcp;
destination-port 5222-5223;
inactivity-timeout 1800;
}
application smtp-ssl {
protocol tcp;
destination-port 465;
}
application pop3-ssl {
protocol tcp;
destination-port 995;
}
application-set ALG-SET-noEIM-noEIF {
application junos-http;
application junos-ftp;
application junos-rtsp;
application dns-udp-10s;
application https-1800s;
application icmp-30s;
application xmpp-1800s;
application traceroute-30s;
application junos-ntp;
application junos-telnet;
application junos-rsh;
application junos-ssh;
application junos-pop3;
application junos-smtp;
application junos-imap;
application junos-imaps;
application pop3-ssl;
application smtp-ssl;
application junos-pptp;
application junos-rpc-portmap-tcp;
application junos-rpc-portmap-udp;
application junos-tftp;
}
application-set ALG-SET-EIM-EIF {
application junos-h323;
application junos-sip;
}
Firewall-ы пробовали выключать вообще все которые есть.
==========
2. Никак не удается настроить проброс портов во внуторь за NAT.
Причем если делать проброс порт в порт (например 3389 в 3389)
или вообще bi-nat то все работает,
а (например 10500 в 3389) не получается
match-direction output;
term t1 {
from {
destination-address {
ХХ.ХХ.ХХ.ХХ/32;
}
destination-port {
range low 3000 high 10000;
}
}
then {
port-forwarding-mappings map1;
translated {
destination-prefix 10.10.20.30/32;
translation-type {
dnat-44;
}
}
}
}
port-forwarding map1
destined-port 10000 translated-port 3389;
Прошу подсказать в какую сторону смотреть.