Помогит
На маршрутизаторе 1 применил PBR и зарулил отдельных пользователей на маршрутизатор 2 по тунелю IPsec.
На маршрутизаторе 2, есть внешний IP и есть NAT, там нет трансляций.Хочу занатить на 2 роутере пользунов из сети маршрутизатора 1.
Пакеты приходят на маршрутизатор 2, о чем свидетельствует счетчик PBR , но не NAT-ятся.
логи почитал - там
42w4d: NAT: translation failed (A), dropping packet s=192.168.201.2 d=8.8.8.8
42w4d: NAT-SymDB: DB is either not enabled or not initiated.
ХЗ что это такое.
В общем конфиги на роутере 1
interface GigabitEthernet0/0.21(интерфейс в сторону пользователя)
encapsulation dot1Q 21
ip address 192.168.201.254 255.255.255.0
ip helper-address 192.168.205.5
ip flow ingress
ip policy route-map RAZRAB
interface Tunnel201(тунельный интерфейс в сторону 2 роутера)
description M9
ip address 172.16.1.201 255.255.255.252
ip flow ingress
tunnel source 5.133.120.120
tunnel mode ipip
tunnel destination 13.11.120.66
tunnel protection ipsec profile M9
route-map RAZRAB permit 10
match ip address tun201
set ip next-hop 172.16.1.202(айпи тунельного интерфейса второго роутера)
Тут вроде как все ок - пакеты проходят роутер 1 и уходят на роутер 2.
На роутере 2 след конфиг
interface GigabitEthernet0/1
description Интерфейс в сторону провайдера(транк до свича)
no ip address
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat outside
no ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
no cdp enable
!
interface GigabitEthernet0/1.1
description Uplink_via_RTK(провайдер)
encapsulation dot1Q 1 native
ip address 13.11.120.91 255.255.255.0 secondary
ip address 13.11.120.66 255.255.255.0
no ip redirects
no ip proxy-arp
ip flow ingress
ip nat outside
no ip virtual-reassembly in
no cdp enable
Так же конфиг тунельного интерфейса в сторону 1 роутера
interface Tunnel201
description LAZA
ip address 172.16.1.202 255.255.255.252
ip nat inside
ip virtual-reassembly in
ip policy route-map RAZRAB
tunnel source 13.11.120.66
tunnel mode ipip
tunnel destination 5.133.120.120
tunnel protection ipsec profile LAZA
route-map RAZRAB permit 10
match ip address tun201
ip nat inside source list 101 interface GigabitEthernet0/1 overload
ip nat inside source route-map RAZRAB interface GigabitEthernet0/1.1 overload
ip route 0.0.0.0 0.0.0.0 13.11.120.1
ip route 192.168.201.0 255.255.255.0 172.16.1.201
ip access-list extended tun201
permit ip 192.168.201.0 0.0.0.255 any
↧