Cisco 2911 Double Nat (проблема с outside)

[Serejka]

Добрый день.

 

Настраивал double nat на 2911 и словил грабли.

 

Смущает то, что в GNS3 эмуляция отработала корректно.

 

 

На боевом оборудовании возникла проблема.

 

Появляется динамическая трансляция вида:

icmp 172.24.19.33:1 10.10.10.160:1 172.31.17.15:1 172.31.17.15:1

 

В эмуляторе в свою очередь всё как нужно:

icmp 172.24.19.33:1 10.10.10.160:1 10.10.10.11:1 172.31.17.15:1

 

 

Кто-нибудь с подобным сталкивался?

Подебажить особо не успели, у партнёров рабочий день окончился. По sh ip nat translations - misses было 0

 

 

 

 

Кусок конфига партнёров с double nat.

Схема довольно простая:

fa0/0 - inside to local

fa0/1.300 - линковая сеть между c7206 - c2911

tunnel0 - GRE туннель поверх линковой сети

 

Хотим слать с c7206 пакеты с (172.31.17.15) на левый адрес (172.24.19.33) статикой в GRE туннель.

c2911 подменяет адрес отправителя на фейковый адрес внутри inside local (10.10.10.11)

Далее c2911 подменяет адрес получателя на адрес ХостБ - 10.10.10.160

Пакет отправляется через fa0/0 на хостБ

 

Обратно прилетает пакет от ХостБ - его адрес отправителя подменяется на левый (172.24.19.33), затем адрес получателя меняется с 172.24.19.33 -> 172.31.17.15

 

На c7206 пакет прозрачно перекладывается между интерфейсами и попадает на хостА

 

 

 

 

interface Tunnel0

ip address 172.28.28.30 255.255.255.252

ip nat outside

tunnel source 172.28.28.26

tunnel destination 172.28.28.25

!

interface FastEthernet0/0

ip address 10.10.10.10 255.255.255.0

ip nat inside

!

interface FastEthernet0/1

no ip address

!

interface FastEthernet0/1.300

encapsulation dot1Q 300

ip address 172.28.28.26 255.255.255.252

!

ip route 10.10.10.11 255.255.255.255 172.28.28.31

 

ip nat inside source static 10.10.10.160 172.24.19.33

ip nat outside source static 172.31.17.15 10.10.10.11