Элтекс

Добрый день, может кто то подсказать? Можно ли настроить snat на ip адрес которого нет на l3 интерфейсе.

Схема такая: Провайдер дает pppoe и роутит туда еще 2 блока белых адресов.
Сперва стоит Cicso 2901, он поднимает ppp туннель, дальше на нем прописан маршрут к белым сетям через esr21.

Все что находится за esr имеет белый адрес, без натирования. И вот возникла необходимость сделать snat одного серого адреса.
Cisco и eltex имеют между собой /30 сетку, для маршрутов.

Накидал схему, возможно с ней будет понятнее.(На ней все примерно)

Как можно настроить snat пк (к примеру 192.168.0.2) из security zone 1 через ip адрес из security zone 2 в security zone untrusted.
Т.Е. выйти в security zone untrusted из зоны security zone 1, через ip security zone 2.
В интернет в общем выпустить, но с определенного ip из другой зоны.

Я не могу добавить nat proxy arp на gi1/0/1, так как это адрес не из этой сети. Может кто то подсказать, возможно ли это вообще?

Сейчас я настроил статический snat для этого на cisco, но хотелось бы сделать это на esr.

Добрый вечер !
А циска в данном случае это чья железка? Ваша или провайдера?

наша, она только для pppoe стоит

А почему не повесили сети 2.2.2.0 и 3.3.3.0 на внутренний интерфейс/суб-интерфейс циски и туда бы их(сети) провайдер смаршрутизировал через свой же ррр. Или он так не может сделать, не спрашивали?

Мы вообще не хотели ставить циску, но пришлось из за pppoe. В силу некоторых специфичных проблем, мы не можем эти адреса повесить на циску. До этого стоял только 1 juniper srx, все было хорошо. Но нам нужен был сертифицированный МСЭ. Посмотрели в сторону esr, он тоже zone based и т.д.
Фактически циской мы заменили pppoe провайдера на ipoe для esr.

Да, с ррр это конечно беда. Не писали в ТП по этому вопросу?

Могу предложить вариант, но придется задействовать два дополнительных физических интерфейса.

Писал, надо ждать ПО. Придется видимо оставить все так как сейчас стоит. Но блин, неужели snat можно настроить только с адресами из сети которая прописана на нужном мне интерфейсе, а с отличающейся адресацией нельзя.

Вариант с 2-я vrf.
1) Создать vrf, с именем local;
2) Поместить в vrf local интерфейс1 с сетью 192.168.0.х/24;
3) Поместить в vrf local интерфейс2 с адресом из сети 2.2.2.0 ( в этот адрес будет натиться сеть/адрес 192.168.0.х/24 );
4) В vrf-default переделать настройки сети с интерфейса3 (если он конечно на физ интерфейсе) на vlanХХХ (2.2.2.0) и подключить туда текущую сеть 2.2.2.0;
5) Выделить доп. физ. интерфейс4 настроить на нём vlanХХХ (2.2.2.0);
6) Соединить патч-кордом интерфейс2 и интерфейс4;
7) В vrf local настроить snat из 192.168.0.х/24 в выделенный адрес 2.2.2.х

Пока писал появилась идея сделать с помощью 2-х vrf и lt, без доп. интерфейсов. Завтра попробую расписать.