ESR20 FSTEK: Перегруженный nat

[Dit]

Добрый день. Меняем cisco 2901 на esr 20 фстек. Соответственно надо адаптировать конфиг. И вот возник вопрос.
Провайдер дает /29 публичную сеть.
На циске настроен перегруженный snat, acl списками от разных локальных источников на разные публичные адреса.
Как указать для snat режим overload? Или он по умолчанию?

Вот конфиг nat:

object-group network local_network
ip address-range 192.168.0.0-192.168.0.255
ip address-range 192.168.1.0-192.168.1.255

в nat source pool st1 указан только 1 публичный ip адрес

nat source
pool st1
ip address-range X.X.X.X

ruleset SNAT
to zone untrusted
rule 1
match source-address local_network
action source-nat pool st1
enable

В общем как вы поняли мне надо кучу адресов локальной сети преобразовать в 1 публичный.
При такой настройке nat будет работать в режиме overload?
А то в мануале все примеры сделаны пулами адресов, но возможно, что я чего то там не заметил. Настройки PAT тоже не нашел.

[Garri]

Добрый!

Код: Выделить всё

object-group network NET1
  ip prefix 192.168.1.0/24
exit
object-group network NET2
  ip prefix 192.168.2.0/24
exit
object-group network NET3
  ip prefix 192.168.3.0/24
exit
object-group network NET4_5
  ip prefix 192.168.4.0/24
  ip prefix 192.168.5.0/24
exit

nat source
  pool ipWAN1
    ip address-range 100.100.100.100
  exit
  pool ipWAN2
    ip address-range 100.100.100.101
  exit
  ruleset SNAT1
    to zone WAN
    rule 1
      match source-address NET1
      action source-nat pool ipWAN1
      enable
    exit
    rule 2
      match source-address NET2
      action source-nat pool ipWAN1
      enable
    exit
  exit
  ruleset SNAT2
    to zone WAN
    rule 1
      match source-address NET3
      action source-nat pool ipWAN2
      enable
    exit
    rule 2
      match source-address NET4_5
      action source-nat pool ipWAN2
      enable
    exit
  exit
exit


[Dit]

Спасибо, у вас 2 ruleset настроены в 1 зону (to zone WAN).
Когда я пытался так сделать, не получалось. Может и с этим подскажете?

error - check source NAT ruleset 'SNAT1': security zone 'untrusted' already bound to ruleset 'SNAT'

[Garri]

Да, это я не правильно написал.
Если имеется 2-а wan-соединения, то второй wan во второй ruleset, который смотрит во 2-ю wan-зону.

Код: Выделить всё

nat source
  pool ipWAN1
    ip address-range 100.100.100.100
  exit
  pool ipWAN2
    ip address-range 100.100.100.101
  exit
  ruleset SNAT_WAN
    to zone WAN
    rule 1
      match source-address NET1
      action source-nat pool ipWAN1
      enable
    exit
    rule 2
      match source-address NET2
      action source-nat pool ipWAN1
      enable
    exit
    rule 10
      match source-address NET3
      action source-nat pool ipWAN2
      enable
    exit
    rule 20
      match source-address NET4_5
      action source-nat pool ipWAN2
      enable
    exit
  exit
exit


[Dit]

Спасибо! И еще один вопрос. Опять по поводу перехода.

Для того, что бы на esr при трансляции snat на несколько разных адресов, которые не указаны на wan интерфейсе, необходимо включить "ip nat proxy arp (pool)" иначе этих адресов в arp таблице esr не наблюдается. Ну или задавать их все на интерфейс.

На wan интерфейсе циски насроен "no ip proxy-arp".
На esr, как я понимаю необходимо включить "ip nat proxy arp".

Все так?

Типа:

Код: Выделить всё

object-group network pool_white_ip_for_nat
  ip address-range X.X.X.3-X.X.X.30

interface gigabitethernet 1/0/1
  description "Internet"
  security-zone untrusted
  ip address X.X.X.2/27
  ip nat proxy-arp pool_white_ip_for_nat
  no ip unreachables

[Garri]

Всё верно.

[Dit]

Почему то оно не работает. Интернет на esr есть, snat трансляции есть, в firewall сессии есть. В arp есть только адрес провайдера и тот, что указан на wan интерфейсе.

[Dit]

Упростил в примере конфиг, но +- все так, за исключением сетей и ip.

Код: Выделить всё

object-group network local_1
  ip prefix 10.10.0.0/24
exit
object-group network local_2
  ip prefix 10.10.1.0/24
exit
object-group network local_3
  ip prefix 10.10.2.0/24
exit
object-group network pool_white_ip_for_nat
  ip address-range 1.1.1.3-1.1.1.30
exit

bridge 2
  description "local"
  vlan 3
  security-zone trusted
  ip address 10.10.3.1/29
  enable
exit

interface gigabitethernet 1/0/1
  description "Internet"
  security-zone untrusted
  ip address 1.1.1.2/27
  ip nat proxy-arp pool_white_ip_for_nat
  no ip unreachables
exit

interface gigabitethernet 1/0/2
  description "Local-Network"
  mode switchport
  security-zone trusted
  switchport access vlan 3
exit

security zone-pair trusted untrusted
  rule 1
    description "icmp"
    action permit
    match protocol icmp
    match source-address local_all
    enable
  exit
  rule 2
    action permit
    match source-address local_2
    enable
  exit
  rule 3
    action permit
    match source-address local_2
    enable
  exit
  rule 4
    action permit
    match source-address local_3
    enable
  exit
exit

security zone-pair trusted trusted
  rule 1
    action permit
    enable
  exit
exit

security zone-pair untrusted self
  rule 1
    action deny
    match protocol udp
    match source-port dhcp_server
    match destination-port dhcp_client
    enable
  exit

nat source
  pool 1
    ip address-range 1.1.1.3
  exit
  pool 2
    ip address-range 1.1.1.4
  exit
  pool 3
    ip address-range 1.1.1.5
  exit
  ruleset snat
    to zone untrusted
    rule 1
      match source-address local_1
      action source-nat pool 1
      enable
    exit
    rule 2
      match source-address local_2
      action source-nat pool 2
      enable
    exit
    rule 3
      match source-address local_3
      action source-nat pool 3
      enable
    exit
  exit
exit
 
ip route 0.0.0.0/0 1.1.1.1 name Provider
ip route 10.0.0.0/8 10.10.3.2 name Local_all

Вроде я делал все как указано в мануале.

[Dit]

Так, проведя тесты я понял, что esr не делает arp записи связанные с nat proxy arp. Я выделил локальную сеть, за ней snat работает с трансляцией на разные ip без проблем. На железяке с другой стороны я вижу нужные arp записи.
Поговорю с провайдером.