Коллеги, подскажите по nat-проблеме...Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в этой сети. Одно из устройств - ASA. Все прекрасно, все работает.
Но вот возникла задача, из этой сети, которая /27 переместить хост за ASA NAT, с сохранением адреса.
Если я правильно понимаю, то делаю правило для ната, в котором src outside будет старый адрес устройства, когда оно еще не было за натом.
Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже отвечать адресом, который не на асе висит, и на нее не смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
>[оверквотинг удален]
> Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в
> этой сети. Одно из устройств - ASA. Все прекрасно, все работает.
> Но вот возникла задача, из этой сети, которая /27 переместить хост за
> ASA NAT, с сохранением адреса.
> Если я правильно понимаю, то делаю правило для ната, в котором src
> outside будет старый адрес устройства, когда оно еще не было за
> натом.
> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
> отвечать адресом, который не на асе висит, и на нее не
> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи или нет...
>[оверквотинг удален]
>> Но вот возникла задача, из этой сети, которая /27 переместить хост за
>> ASA NAT, с сохранением адреса.
>> Если я правильно понимаю, то делаю правило для ната, в котором src
>> outside будет старый адрес устройства, когда оно еще не было за
>> натом.
>> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
>> отвечать адресом, который не на асе висит, и на нее не
>> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
> Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи
> или нет...немного непонятно,что Вы хотите сделать и какую цель преследуете таким переносом с сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное решение.
>[оверквотинг удален]
>>> outside будет старый адрес устройства, когда оно еще не было за
>>> натом.
>>> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
>>> отвечать адресом, который не на асе висит, и на нее не
>>> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
>> Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи
>> или нет...
> немного непонятно,что Вы хотите сделать и какую цель преследуете таким переносом с
> сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное
> решение.думал-думал... Как же сказать понятнее. Попробую. Главная задача - сохранить адрес хоста, он с маской /27, при этом внешний адрес асы - тоже в этой сети, с той же маской, соответственно. Если перенести хост за асу, и в соответствующем snat рулесе оставить адрес - это нормально? нужен proxy-arp?
>[оверквотинг удален]
>>> Уважаемые коллеги, просьба подсказать... что-то сам не могу осознать, верный ли подходи
>>> или нет...
>> немного непонятно,что Вы хотите сделать и какую цель преследуете таким переносом с
>> сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное
>> решение.
> думал-думал... Как же сказать понятнее. Попробую. Главная задача - сохранить адрес хоста,
> он с маской /27, при этом внешний адрес асы - тоже
> в этой сети, с той же маской, соответственно. Если перенести хост
> за асу, и в соответствующем snat рулесе оставить адрес - это
> нормально? нужен proxy-arp?как-то не особо нормально. Я бы сделал на asa прозрачный файрвол, то есть вообще не вешал бы на нее никаких ip(только для управления). Тогда можно переносить без опаски хост за asa с сохранением ip
>[оверквотинг удален]
>>> сохранением ip-адреса хоста. Повнятнее объясните. Глядишь кто-нить предложит альтернативное
>>> решение.
>> думал-думал... Как же сказать понятнее. Попробую. Главная задача - сохранить адрес хоста,
>> он с маской /27, при этом внешний адрес асы - тоже
>> в этой сети, с той же маской, соответственно. Если перенести хост
>> за асу, и в соответствующем snat рулесе оставить адрес - это
>> нормально? нужен proxy-arp?
> как-то не особо нормально. Я бы сделал на asa прозрачный файрвол, то
> есть вообще не вешал бы на нее никаких ip(только для управления).
> Тогда можно переносить без опаски хост за asa с сохранением ipК сожалению, асу уже не переделать в транспарент, т.к. много чего на ней сейчас есть.
Вот вы говорите - "как-то не особо нормально", а в чем ненормальность? Что не так-то? Где что-то может вылезти?
а какая сеть со стороны ASA у Вас будет смотреть на host со "старым" адресом?
> а какая сеть со стороны ASA у Вас будет смотреть на host
> со "старым" адресом?Похоже надо картинку нарисовать... Как нарисую - отпишусь. В любом случае - спасибо за отклики.
> Похоже надо картинку нарисовать... Как нарисую - отпишусь. В любом случае -
> спасибо за отклики.Надо объяснить что вы имеете в виду под "сохранением старого адреса хоста".
Есть разница между "хост должен быть доступен снаружи по старому адресу" и "на хосте крутится прикладуха за лимон баксов, лицензия привязана к IP-адресу".
>[оверквотинг удален]
> Есть интерфейс на cisco рутере, на нем сеть /27. Разные устройства в
> этой сети. Одно из устройств - ASA. Все прекрасно, все работает.
> Но вот возникла задача, из этой сети, которая /27 переместить хост за
> ASA NAT, с сохранением адреса.
> Если я правильно понимаю, то делаю правило для ната, в котором src
> outside будет старый адрес устройства, когда оно еще не было за
> натом.
> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
> отвечать адресом, который не на асе висит, и на нее не
> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?если я правильно понял тебе нужен static NAT. У тебя есть пул внешних адресов в котором сервера + ASA. У ASA как минимум два интерфейса, один смотрит во внешний пул другой например в приватный DMZ. Сервера переносятся в приватный DMZ и получаю приватные адреса. ASA на внешнем интерфейсе перенимает старые внешние адреса серверов и маппит их к новым приватным адресам в DMZ. Taк ?
Какая версия ASA ? У них вроде поменялся синтаксис на 8.4
>[оверквотинг удален]
>> Но что-то сомнение какое-то, на предмет что это вообще правильно. Как-то негоже
>> отвечать адресом, который не на асе висит, и на нее не
>> смаршрутизирован. И еще уточнение, а proxy-arp в таком случае нужно включать?
> если я правильно понял тебе нужен static NAT. У тебя есть пул
> внешних адресов в котором сервера + ASA. У ASA как
> минимум два интерфейса, один смотрит во внешний пул другой например в
> приватный DMZ. Сервера переносятся в приватный DMZ и получаю приватные адреса.
> ASA на внешнем интерфейсе перенимает старые внешние адреса серверов и маппит
> их к новым приватным адресам в DMZ. Taк ?
> Какая версия ASA ? У них вроде поменялся синтаксис на 8.4Да, именно так. То что в 8.4 поменялся синтаксис - это я знаю. Спасибо за напоминание. Сам съел собаку при настройке ipseс. Недюженные батхерты получил по этому поводу.
Для уточнения, почему спрашиваю. Дело в том, что например, на juniper srx - очень важно включать proxy arp для каждой трансляции static nat. Но там это обязательное условие - для любых конфигураций.
Как у циски в такой конфигурации, когда надо статически натить в тои же пул, что и сама аса своим интерфейсом смотрит - не знаю....
>[оверквотинг удален]
>> Какая версия ASA ? У них вроде поменялся синтаксис на 8.4
> Да, именно так. То что в 8.4 поменялся синтаксис - это я
> знаю. Спасибо за напоминание. Сам съел собаку при настройке ipseс. Недюженные
> батхерты получил по этому поводу.
> Для уточнения, почему спрашиваю. Дело в том, что например, на juniper srx
> - очень важно включать proxy arp для каждой трансляции static nat.
> Но там это обязательное условие - для любых конфигураций.
> Как у циски в такой конфигурации, когда надо статически натить в тои
> же пул, что и сама аса своим интерфейсом смотрит -
> не знаю....На ASA для static NAT proxy arp не нужен на сколько я знаю. Вот твой сценарий
http://www.cisco.com/en/US/i/200001-300000/240001-250000/248...и пример настройки static NAT для вебсервера который стоит за ASA
http://www.cisco.com/en/US/docs/security/asa/asa84/configura...
>[оверквотинг удален]
>> - очень важно включать proxy arp для каждой трансляции static nat.
>> Но там это обязательное условие - для любых конфигураций.
>> Как у циски в такой конфигурации, когда надо статически натить в тои
>> же пул, что и сама аса своим интерфейсом смотрит -
>> не знаю....
> На ASA для static NAT proxy arp не нужен на сколько я
> знаю. Вот твой сценарий
> http://www.cisco.com/en/US/i/200001-300000/240001-250000/248...
> и пример настройки static NAT для вебсервера который стоит за ASA
> http://www.cisco.com/en/US/docs/security/asa/asa84/configura...Спасибо. По поводу proxy-arp - не совсем понятно, почему не надо использовать? Можете что-то пояснить, пожалуйста.
За ссылку - спасибо. Это все понятно. Я концептуально усомнился, и еще пока сомневаюсь что так можно делать, получается, что аса в таклом сетапе должна будет отвечать на арпы, не только про свой адрес, но и про адреса из этого же широковещательного домена, в которой у ней самой есть интерфейс.
>[оверквотинг удален]
>> http://www.cisco.com/en/US/i/200001-300000/240001-250000/248...
>> и пример настройки static NAT для вебсервера который стоит за ASA
>> http://www.cisco.com/en/US/docs/security/asa/asa84/configura...
> Спасибо. По поводу proxy-arp - не совсем понятно, почему не надо использовать?
> Можете что-то пояснить, пожалуйста.
> За ссылку - спасибо. Это все понятно. Я концептуально усомнился, и еще
> пока сомневаюсь что так можно делать, получается, что аса в таклом
> сетапе должна будет отвечать на арпы, не только про свой адрес,
> но и про адреса из этого же широковещательного домена, в которой
> у ней самой есть интерфейс.почему бы так не делать, причин не вижу
вот кусок show arp на рутере провайдера
.............
Internet ххх.ххх.95.3 10 d0d0.fdfe.a116 ARPA Vlan3
Internet ххх.ххх.95.4 113 d0d0.fdfe.a116 ARPA Vlan3
Internet ххх.ххх.95.5 60 d0d0.fdfe.a116 ARPA Vlan3
Internet ххх.ххх.95.6 140 d0d0.fdfe.a116 ARPA Vlan3
Internet ххх.ххх.95.7 34 d0d0.fdfe.a116 ARPA Vlan3.............
d0d0.fdfe.a116 это MAC моей ASA. xxx.xxx.95.3 ее родной адрес. Все остальные адреса web и mail серверов которые стоят в DMZ.
>[оверквотинг удален]
> 113 d0d0.fdfe.a116 ARPA Vlan3
> Internet ххх.ххх.95.5
> 60 d0d0.fdfe.a116 ARPA Vlan3
> Internet ххх.ххх.95.6
> 140 d0d0.fdfe.a116 ARPA Vlan3
> Internet ххх.ххх.95.7
> 34 d0d0.fdfe.a116 ARPA Vlan3
> .............
> d0d0.fdfe.a116 это MAC моей ASA. xxx.xxx.95.3 ее родной адрес. Все остальные адреса
> web и mail серверов которые стоят в DMZ.Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из одной сети, и в одном бродкастном домене? А прокси-арп включили для этого?
> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
> одной сети, и в одном бродкастном домене? А прокси-арп включили для
> этого?да, именно так. тот же сценарий и с CheckPoint и с pFsense. Proxy-arp не включен, а зачем ?
>> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
>> одной сети, и в одном бродкастном домене? А прокси-арп включили для
>> этого?
> да, именно так. тот же сценарий и с CheckPoint и с pFsense.
> Proxy-arp не включен, а зачем ?Да я вот сам никак не пойму. В сомнение вводит что на Juniper SRX`ах - это требование - жесткое для SNAT`а...
Может кто подскажет?
>>> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
>>> одной сети, и в одном бродкастном домене? А прокси-арп включили для
>>> этого?
>> да, именно так. тот же сценарий и с CheckPoint и с pFsense.
>> Proxy-arp не включен, а зачем ?
> Да я вот сам никак не пойму. В сомнение вводит что на
> Juniper SRX`ах - это требование - жесткое для SNAT`а...
> Может кто подскажет?пруфлинк ?
>>>> Спасибо за отклик. Т.е. у вас АСА отвечает по нескольким адресам из
>>>> одной сети, и в одном бродкастном домене? А прокси-арп включили для
>>>> этого?
>>> да, именно так. тот же сценарий и с CheckPoint и с pFsense.
>>> Proxy-arp не включен, а зачем ?
>> Да я вот сам никак не пойму. В сомнение вводит что на
>> Juniper SRX`ах - это требование - жесткое для SNAT`а...
>> Может кто подскажет?
> пруфлинк ?Ниже фрагменты доков и самое последнее - некоторые размышления на эту тему
http://www.juniper.net/techpubs/software/junos-es/junos-es93...
http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf
http://kengilmour.com/geeklog/public_html/article.php?story=...
http://boardreader.com/thread/confused_about_static_arp_and_...
Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.
>[оверквотинг удален]
>>> Да я вот сам никак не пойму. В сомнение вводит что на
>>> Juniper SRX`ах - это требование - жесткое для SNAT`а...
>>> Может кто подскажет?
>> пруфлинк ?
> Ниже фрагменты доков и самое последнее - некоторые размышления на эту тему
> http://www.juniper.net/techpubs/software/junos-es/junos-es93...
> http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf
> http://kengilmour.com/geeklog/public_html/article.php?story=...
> http://boardreader.com/thread/confused_about_static_arp_and_...
> Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.ни в одной ссылке не написано что для static NAT у Juniper _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это не твой случай.
Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что он тебе именно в этом случае обсалютно не нужен. А если твой рутер будет соеденен через PPP к инету, как ты тогда будешь устраивать Proxy ARP на внешнем интерфейсе ???
>[оверквотинг удален]
>> http://kengilmour.com/geeklog/public_html/article.php?story=...
>> http://boardreader.com/thread/confused_about_static_arp_and_...
>> Коллеги, помогите разобраться, почему так у Жунипера, и не требуется у Циски.
> ни в одной ссылке не написано что для static NAT у Juniper
> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это
> не твой случай.
> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что
> он тебе именно в этом случае обсалютно не нужен. А если
> твой рутер будет соеденен через PPP к инету, как ты тогда
> будешь устраивать Proxy ARP на внешнем интерфейсе ???Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее, они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...
Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов, не для всей сети...
>[оверквотинг удален]
>> ни в одной ссылке не написано что для static NAT у Juniper
>> _требуется_ proxy arp. Есть сценарии где это имеет смысл, но это
>> не твой случай.
>> Думаю тебе надо сначала понять зачем нужен Proxy ARP, и понят что
>> он тебе именно в этом случае обсалютно не нужен. А если
>> твой рутер будет соеденен через PPP к инету, как ты тогда
>> будешь устраивать Proxy ARP на внешнем интерфейсе ???
> Прошу прощения, но ведь адреса, которые сейчас на хостах, и один из
> этих адресов на внешнем интерфейсе асы - не смаршрутизированы на нее,
> они просто висят на интерфейсе вышестоящего рутера, как /27 сеть...например имеем внешнюю сеть 10.1.1.0/24, рутер прова имеет в этой сети инетерфейс с 10.1.1.1 у asa есть интерфейс с родным адресом 10.1.1.2. В той же сети стоит вебсервер 10.1.1.20. За ASA есть приватная сеть (DMZ) 192.168.1.0/24 в этой сети ASA имеет интерфейс с 192.168.1.1.
Задача перенести вебсервер из внешнего пула (10.1.1.0/24) во внутренний 192.168.1.0/24 за ASA, не меняя при этом адрес вебсервера для внешнего мира.
Сервер переносится на 192.168.1.20, default gateway на сервере меняется на 192.168.1.1 (АSA dmz interface). на ASA настраивается static NAT 10.1.1.20 <---> 192.168.1.20. Это значит что ASA на внешнем интерфейсе отвечает и на 10.1.1.20 (тоесть имеет свой родной адрес 10.1.1.2 и 10.1.1.20). Когда рутер провайдера спросит who has 10.1.1.20 ASA ответит что это ее адрес. ASA знает что пакеты для 10.1.1.20 надо направлят внутрь на 192.168.1.20. Сервер 192.168.1.20 отвечает клиенту и направляет ответ через свой default gateway 192.168.1.1 (ASA). ASA знает что если пакет уходит наружу от 192.168.1.20 его надо NATить и с внешнего интерфейса ASA пакет уходит в мир уже от 10.1.1.20.
Для рутера провайдера это все выглядит так как будто ASA имеет два адреаса и на 10.1.1.20 у ASA вебсервер. Как я уже постил выше рутер моего прова видет что все мои внешние адреса принадлежат одному MAC адресу а именно моей ASA. За ASA в приватном DMZ стоят все мои почтовые и вебсервера.
> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
> не для всей сети...Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой broadcast domain. Это значит что когда рутер провайдера спрашивает who has 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном и том же broadcast domain где и рутер провайдера и перенаправляет это в broadcast domain там где стоит сервер 10.1.1.20.
>[оверквотинг удален]
> выше рутер моего прова видет что все мои внешние адреса принадлежат
> одному MAC адресу а именно моей ASA. За ASA в приватном
> DMZ стоят все мои почтовые и вебсервера.
>> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
>> не для всей сети...
> Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой
> broadcast domain. Это значит что когда рутер провайдера спрашивает who has
> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном
> и том же broadcast domain где и рутер провайдера и перенаправляет
> это в broadcast domain там где стоит сервер 10.1.1.20.Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае - и есть другой бродкастный домен?
>[оверквотинг удален]
>> DMZ стоят все мои почтовые и вебсервера.
>>> Вот еще, ведь в SRX`ах мы включаем прокси-арп именно для конкретных меппингов,
>>> не для всей сети...
>> Proxy ARP нужен если сервер имеет внешний адрес но стоит в другой
>> broadcast domain. Это значит что когда рутер провайдера спрашивает who has
>> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном
>> и том же broadcast domain где и рутер провайдера и перенаправляет
>> это в broadcast domain там где стоит сервер 10.1.1.20.
> Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае
> - и есть другой бродкастный домен?да, но это и другой subnet. Proxy ARP нужен если один subnet но два broadcast domains.
При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов. При Proxy ARP ASA просто говорит что знает как передать ARP пакет в нужный broadcast domain.
>[оверквотинг удален]
>>> 10.1.1.20 ASA принимает этот запрос на интерфейсе который стоит в одном
>>> и том же broadcast domain где и рутер провайдера и перенаправляет
>>> это в broadcast domain там где стоит сервер 10.1.1.20.
>> Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае
>> - и есть другой бродкастный домен?
> да, но это и другой subnet. Proxy ARP нужен если один subnet
> но два broadcast domains.
> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
> При Proxy ARP ASA просто говорит что знает как передать ARP
> пакет в нужный broadcast domain.Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а когда используется Juniper SRX в качестве межсетевого экрана.
>[оверквотинг удален]
>>>> это в broadcast domain там где стоит сервер 10.1.1.20.
>>> Спасибо за детальное пояснение. Одно уточнение: ведь DMZ - в вашем случае
>>> - и есть другой бродкастный домен?
>> да, но это и другой subnet. Proxy ARP нужен если один subnet
>> но два broadcast domains.
>> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
>> При Proxy ARP ASA просто говорит что знает как передать ARP
>> пакет в нужный broadcast domain.
> Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а
> когда используется Juniper SRX в качестве межсетевого экрана.фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону провайдера смотрим через PPP ?
>[оверквотинг удален]
>>>> - и есть другой бродкастный домен?
>>> да, но это и другой subnet. Proxy ARP нужен если один subnet
>>> но два broadcast domains.
>>> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
>>> При Proxy ARP ASA просто говорит что знает как передать ARP
>>> пакет в нужный broadcast domain.
>> Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а
>> когда используется Juniper SRX в качестве межсетевого экрана.
> фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону
> провайдера смотрим через PPP ?Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy arp в одном правиле для одного адреса - перставал нат работать для этого сервера... Что доставляет...:(
>[оверквотинг удален]
>>>> При static NAT ASA переписывает заголовки исходящих во внешний мир IP пакетов.
>>>> При Proxy ARP ASA просто говорит что знает как передать ARP
>>>> пакет в нужный broadcast domain.
>>> Понятно, но все-таки есть какое-то сомнение. Скорее не для этого случая, а
>>> когда используется Juniper SRX в качестве межсетевого экрана.
>> фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону
>> провайдера смотрим через PPP ?
> Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy
> arp в одном правиле для одного адреса - перставал нат работать
> для этого сервера... Что доставляет...:(У меня такая же фигня, можешь сказать у тебя на juniper из локальной сети при static nat при обращении на внешний ip который соответствует локальному ip были доступны сервисы ssh, web при включенном proxy-arp на внешнем ip ?
>[оверквотинг удален]
>>>> когда используется Juniper SRX в качестве межсетевого экрана.
>>> фух, ну как знаешь. Как будем настраивать Proxy ARP если в сторону
>>> провайдера смотрим через PPP ?
>> Да вот сам не очень понимаю... Но на Juniper SRX240 отключал proxy
>> arp в одном правиле для одного адреса - перставал нат работать
>> для этого сервера... Что доставляет...:(
> У меня такая же фигня, можешь сказать у тебя на juniper из
> локальной сети при static nat при обращении на внешний ip который
> соответствует локальному ip были доступны сервисы ssh, web при включенном proxy-arp
> на внешнем ip ?сори на внешнем интерфейсе
