cisco 7000
есть два влана

vlan9 - внешний
vlan15 - внутренний

извне внутрь пророучено статиком несколько реальных сеток, помимо этого во vlan15 имеются сервера только с серыми адресами (10.115.0.0/24)

возникла необходимость сделать для этих серверов pat, чтобы они могли ходить наружу.
помимо того, что эти сервера находятся в серой сети, для них еще настроен CSM

serverfarm TESTHOST
  nat server
  no nat client
  real 10.40.115.30
   health probe GENERIC-HTTP
   inservice
  real 10.40.115.31
   health probe GENERIC-HTTP
   inservice

и поднят HSRP

interface Vlan15
ip address 10.40.115.2 255.255.255.0 secondary
ip address 153.x.x.x 255.255.255.192
no ip redirects
standby 130 ip 10.40.115.1
standby 130 priority 110
standby 130 preempt

для ната я решил использовать отдельный влан105, на который повесил маленькую реальную сеть и закрутил на него роут-мап с vlan15

interface Vlan105
ip nat outside
ip address 153.17.17.113 255.255.255.248
standby 132 ip 153.17.17.115
standby 132 priority 120
standby 132 preempt

interface Vlan15
ip address 10.40.115.2 255.255.255.0 secondary
ip address 153.x.x.x 255.255.255.192
ip nat inside
ip policy route-map nat15
no ip redirects
standby 130 ip 10.40.115.1
standby 130 priority 110
standby 130 preempt

route-map nat15 permit 10
     match ip address 190
     set interface vlan105

исключил локальные сетки из роут-мапа:
access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.40.0.0 0.0.255.255
access-list 190 deny   ip 10.40.115.0 0.0.0.255 10.41.0.0 0.0.255.255
access-list 190 deny   ip 10.40.115.0 0.0.0.255 153.17.17.0 0.0.0.255
access-list 190 permit ip 10.40.115.0 0.0.0.255 any

создал аксесс лист для ната
access-list 191 permit ip 10.40.115.0 0.0.0.255 any

и, собственно, сам нат:

ip nat pool localsrvrs 153.17.17.115 153.17.17.115 netmask 255.255.255.248
ip nat inside source list 191 pool localsrvrs overload

в итоге вышло так, что исходящие пакеты с серых серверов в роут-мап заворачиваются.
в нат они тоже попадают и транслируются во внешний мир. и даже до внешнего мира доходят, смотрел tcpdump'ом запросы на удаленном внешнем сервачке. но ответные пакеты почему-то до внутренних серверов не доходят, т.е. я не вижу правил обратной трансляции в debug ip nat tr и вообще не могу понять где умирает ответный трафик.

причем если наблюдать за попыткой tcp-соединения на каком-либо внешнем сервере, то это выгляит так:

TCP 153.17.17.115.23654 -> remote_server.80 SYN
TCP remote_server.80 -> 153.17.17.115.23654 SYN ACK
TCP 153.17.17.115.23654 -> remote_server.80 RST

такое ощущение, что сама циска не ждет никакого ответного пакета и дропает его.

пробовал в роутмапе вместо "set interface vlan105" ставить:
set ip next-hop 153.17.17.115
set ip default next-hop 153.17.17.115

пробовал
ip nat inside source route-map nat15 interface vlan405 overload
и
ip nat inside source route-map nat15 pool localsrvrs overload

картина ровным счетом никак не меняется.
что я сделал не так?

• NAT c роут-мапом,onion, 14:19 , 04-Мрт-10
  • NAT c роут-мапом,vnn, 14:29 , 04-Мрт-10
    • NAT c роут-мапом,onion, 00:47 , 05-Мрт-10
      • NAT c роут-мапом,onion, 00:54 , 05-Мрт-10
• NAT c роут-мапом,mario, 15:46 , 04-Мрт-10
  • NAT c роут-мапом,mario, 09:04 , 05-Мрт-10
    • NAT c роут-мапом,mario, 09:06 , 05-Мрт-10
      • NAT c роут-мапом,onion, 17:47 , 05-Мрт-10
        • NAT c роут-мапом,ivb, 09:59 , 07-Мрт-10

ни у кого никаких мыслей нету? :)

>ни у кого никаких мыслей нету? :)

Есть такая мысль, что пакеты ходят по разным маршрутам в зависимости от направления. Вы упомянули про внешний интерфейс vlan9, но дальше про него как-то забыли. А тем не менее интересно, как там вообще с ним, какая на нём сеть. По какому пути он связан с внешними серверами по сравнению с vlan105...

>>ни у кого никаких мыслей нету? :)
>
>Есть такая мысль, что пакеты ходят по разным маршрутам в зависимости от
>направления. Вы упомянули про внешний интерфейс vlan9, но дальше про него
>как-то забыли. А тем не менее интересно, как там вообще с
>ним, какая на нём сеть. По какому пути он связан с
>внешними серверами по сравнению с vlan105...

на нем висит несколько реальных и внутренних сетей, статически зароученных извне.

есть еще один TenGigabit интерфейс с реальным адресом.
дефолт роут у циски, кстати, завернут в этот 10гигабитный интерфейс.

>[оверквотинг удален]
>>Есть такая мысль, что пакеты ходят по разным маршрутам в зависимости от
>>направления. Вы упомянули про внешний интерфейс vlan9, но дальше про него
>>как-то забыли. А тем не менее интересно, как там вообще с
>>ним, какая на нём сеть. По какому пути он связан с
>>внешними серверами по сравнению с vlan105...
>
>на нем висит несколько реальных и внутренних сетей, статически зароученных извне.
>
>есть еще один TenGigabit интерфейс с реальным адресом.
>дефолт роут у циски, кстати, завернут в этот 10гигабитный интерфейс.

тааак, кажется картина начинает немного проясняться.
все входящие на роутер пакеты до любых статически проброшенных реальных сетей идут через vlan9.
а все исходящие с роутера пакеты (и видимо все транзитные), маршрут до которых неизвестен - идут по дефолт роутингу маршрутизатора, т.е. через 10гигабитник.

не могу только сообразить: нат не работает как надо по этой причине или по какой-то другой. и если по этой, то это безобразие пофиксить, не ломая настроенной маршрутизации? :)

>[оверквотинг удален]
>set ip next-hop 153.17.17.115
>set ip default next-hop 153.17.17.115
>
>пробовал
>ip nat inside source route-map nat15 interface vlan405 overload
>и
>ip nat inside source route-map nat15 pool localsrvrs overload
>
>картина ровным счетом никак не меняется.
>что я сделал не так?

не в ту ветку забил :)

>[оверквотинг удален]
>>
>>пробовал
>>ip nat inside source route-map nat15 interface vlan405 overload
>>и
>>ip nat inside source route-map nat15 pool localsrvrs overload
>>
>>картина ровным счетом никак не меняется.
>>что я сделал не так?
>
>не в ту ветку забил :)

скажу по делу ....
ваши белые сетки и в частности хост
153.17.17.113

не известны в тырнете...
пренадлежат они ненецкой телеком конторе... вероятно они не маршрутизят сети ...
отсюда и банан получается...
если конечно вы адреса не от фени написали...
так же у вас есть 2 сети белых у одной маска /26 у другой /29
расскажите про то как работает 26 сеть...
ps для серваков лучше статику нарисуйте нат
уберите secondanary ip addr
каждая сеть в своем влане.

>[оверквотинг удален]
>не известны в тырнете...
>пренадлежат они ненецкой телеком конторе... вероятно они не маршрутизят сети ...
>отсюда и банан получается...
>если конечно вы адреса не от фени написали...
>так же у вас есть 2 сети белых у одной маска /26
>у другой /29
>расскажите про то как работает 26 сеть...
>ps для серваков лучше статику нарисуйте нат
>уберите secondanary ip addr
>каждая сеть в своем влане.

посмотрел счас конфиг ваш. про статику как я понял погорячился ...

я так понял у вас ферма серверов больше блока белых адресов.

>[оверквотинг удален]
>>так же у вас есть 2 сети белых у одной маска /26
>>у другой /29
>>расскажите про то как работает 26 сеть...
>>ps для серваков лучше статику нарисуйте нат
>>уберите secondanary ip addr
>>каждая сеть в своем влане.
>
>посмотрел счас конфиг ваш. про статику как я понял погорячился ...
>
>я так понял у вас ферма серверов больше блока белых адресов.

сеть конечно же от фени написал :)
все реальные адреса которые у нас на интерфейсах висят они маршрутизируются, так как я проверял снаружи естественно.

вопрос в том имеет ли причастность такой роутинг про который я написал чуть выше(входящий трафик идет через один интерфейс, а исходящий через другой) к тому, что нат не работает как надо?

NAT осуществляется на интерфейсе, вроде как.
Соответственно, все должно ходить через один интерфейс.