Назад | Перейти на главную страницу

VyOS NAT не работает

Мы переносим наш интернет-шлюз с Cisco на маршрутизатор VyOS.

Наш интернет-провайдер дает нам /29 сеть на VLAN 2715 со своего маршрутизатора (A.B.C.114/29 где A.B.C.113 - их маршрутизатор и шлюз для нашего трафика).

У нас есть коммутатор уровня 3, который выполняет маршрутизацию между VLAN, и у него есть IP 172.16.255.255 для трафика к шлюзу. Трафик тегируется в VLAN 255.

При попытке зафиксировать настройки NAT мы получаем предупреждения, показывающие, что все IP-адреса не настроены на маршрутизаторе, кроме одного. Этот IP-адрес указан в interfaces eth1 vif 2715 address (A.B.C.114, хотя это все A.B.C.114/29 подсеть - в настоящее время работает только динамический NAT (исходное правило 100)), что странно.

Мы должны сделать NAT 1-к-1 для нескольких серверов (в конфигурации примера - A.B.C.117 к 172.16.10.10)

Примечание. Иногда NAT начинает работать на несколько минут, а затем снова останавливается.

Конфигурация маршрутизатора следующая (конфиденциальная информация удалена; исключено только одно правило NAT из некорректно работающего):

interfaces {
ethernet eth0 {
    description Inside
    duplex auto
    smp_affinity auto
    speed auto
    vif 255 {
        address 172.16.255.254/31
    }
}
ethernet eth1 {
    description Outside
    duplex auto
    smp_affinity auto
    speed auto
    vif 2715 {
        address A.B.C.114/29
    }
}
loopback lo {
}
}

nat {
destination {
    rule 20 {
        destination {
            address A.B.C.117
        }
        inbound-interface eth1.2715
        translation {
            address 172.16.10.10
        }
    }
}
source {
    rule 20 {
        outbound-interface eth1.2715
        source {
            address 172.16.10.10
        }
        translation {
            address A.B.C.117
        }
    }
    rule 100 {
        description Dynamic
        destination {
        }
        outbound-interface eth1.2715
        source {
            address 172.16.0.0/12
        }
        translation {
            address A.B.C.114
        }
    }
}
}
protocols {
static {
    route 0.0.0.0/0 {
        next-hop A.B.C.113 {
            distance 1
        }
    }
    route 172.16.0.0/12 {
        next-hop 172.16.255.255 {
            distance 1
        }
    }
}
}

Оказалось, что VyOS не запрашивал свои IP-адреса, поэтому нам пришлось добавить каждый IP-адрес в интерфейс eth1.2715.