Cisco config NAT &VRF Lite - Netwerken

zondag 20 oktober 2013 14:48

Acties:

Topicstarter

Om specifieke problemen met voip of de verbinding uit te sluiten wil ik een bestaande werkende VLAN NAT config ombouwen tot VLAN VRF NAT. VOIP loopt over een aparte IPVPN die in een andere VRF komt te zitten.

Huidige config:
Internet > NAT> VLAN 10> Server
IPVPN >VLAN 20 >Telefoons

Nieuwe config
Internet > NAT > VLAN 20 > Server (VRF Internet)
IPVPN > VLAN 30 > Telefoons (VRF IPVPN-Voice)

In de nieuwe config werkt eigenlijk alles zoals gepland.
Vanaf de router:
Ping vrf-Internet 8.8.8.8 source vlan 20 (ok)
Ping vrf-Internet (Statisch IP van de server) vlan 20 (ok)
(Andere VRF express nog niet gedaan zodat ik acces hou via IPVPN)

Op de server heb ik een constante ping lopen naar google.nl zodat ik eenvoudig kan zien of het vanaf de server werkt. Ook heeft de server Teamviewer.

Wat ik na het (live) ombouwen van de config niet zie is dat de server de pingetjes stuurt naar google.nl
Ook komt Teamviewer niet up. DNS op de server is 8.8.8.8 en 8.8.4.4. NAT tabel op vrf-Internet is ook leeg.

Het lijkt dus iets lokaals te zijn of een config dingetje wat ervoor zorgt dat de server geen verbinding krijgt.

Een reload naar de oude config laat zien dat het allemaal nog gewoon werkt.
Helaas staat de server remote en kan ik dus niet zien wat er gebeurt als het niet werkt.

Iemand een idee wat ik nog kan testen?

zondag 20 oktober 2013 19:38

Acties:

Kabouterplop01

chown -R me base:all

Hoe staat je routering?

dinsdag 22 oktober 2013 21:20

Acties:

RedShift

Kan je eens je volledige configuratie (show running-config) tonen?

dinsdag 22 oktober 2013 23:23

Acties:

Ierlandfan

Topicstarter

version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
!
no aaa new-model
!
memory-size iomem 10
clock timezone GMT 1 0
clock summer-time GMT recurring
crypto pki token default removal timeout 0
!
crypto pki trustpoint TP-self-signed-3053642370
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3053642370
revocation-check none
rsakeypair TP-self-signed-3053642370
!
!
crypto pki certificate chain TP-self-signed-3053642370
certificate self-signed 01
<knip> certificate data <knip>
quit
ip source-route
!
!
!
ip vrf Internet
!
ip dhcp excluded-address 192.168.31.6
!
ip dhcp pool IPVPN-VOICE-pool
import all
network 192.168.31.0 255.255.255.248
default-router 192.168.31.6
domain-name ipvpn.somedomain.nl
dns-server 213.144.235.1 213.144.235.2
lease 0 2
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO887VA-K9 sn FCZ170690R1
license accept end user agreement
license boot module c880-data level advipservices
!
!
username <knip>
!
!
!
!
controller VDSL 0
!
!
interface Ethernet0
no ip address
!
interface Ethernet0.1
description **Internet_Uplink**
encapsulation dot1Q 6
ip vrf forwarding Internet
no ip unreachables
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
pppoe-client dial-pool-number 1
!
interface Ethernet0.2
encapsulation dot1Q 7
pppoe-client dial-pool-number 2
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
description Vlan_Telefonie_mirror
switchport access vlan 10
no ip address
!
interface FastEthernet2
description Internet-vlan
switchport access vlan 20
ip vrf forwarding Internet
no ip address
!
interface FastEthernet3
description vlan_ipvpn_Telefonie
switchport access vlan 10
switchport trunk native vlan 10
switchport trunk allowed vlan 1,2,10,20,30,1002-1005
switchport mode trunk
switchport priority default 7
no ip address

interface Vlan1
description "initial config"
ip address 192.11.10.50 255.255.255.0
!
interface Vlan20
ip vrf forwarding Internet
ip address 192.168.30.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan30
description ipvpn-telefonie
ip address 192.168.31.6 255.255.255.248
ip virtual-reassembly in
ip tcp adjust-mss 1452
no autostate
!
interface Dialer1
mtu 1492
ip vrf forwarding Internet
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <knip>
no cdp enable
!
interface Dialer2
mtu 1492
ip unnumbered Vlan30
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation ppp
dialer pool 2
dialer-group 2
ppp authentication pap callin
ppp pap sent-username <knip>

no cdp enable
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
!
!
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer1 vrf Internet overload
ip route 172.31.161.240 255.255.255.240 Dialer2
ip route 172.31.255.22 255.255.255.255 Dialer2
ip route 192.12.10.0 255.255.255.224 Dialer2
!
ip route vrf Internet 0.0.0.0 0.0.0.0 Dialer1
!
access-list 23 remark Management
access-list 23 permit <WAN IP>
access-list 23 permit 212.121.121.0
access-list 23 permit 172.31.161.250
access-list 23 remark Management
access-list 23 permit 213.125.0.0 0.0.255.255 log
access-list 23 permit 192.11.10.0 0.0.0.7 log
access-list 23 remark TTY security
access-list 23 permit 192.0.0.0 0.255.255.255 log
access-list 23 permit 213.144.0.0 0.0.255.255 log
access-list 23 permit 172.31.255.0 0.0.0.255 log
access-list 101 permit ip 192.11.10.0 0.0.0.255 any log
access-list 101 permit ip 192.168.30.0 0.0.0.255 any log
access-list 101 permit ip 10.10.30.0 0.0.0.255 any log
access-list 101 permit ip 192.168.31.0 0.0.0.255 any log
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
!
!
!
snmp-server community <knip>
snmp-server community ,<knip>
!
control-plane
!
banner login ^ <knip>
^
!
line con 0
login local
line aux 0
line vty 0 4
access-class 23 in vrf-also
privilege level 15
login local
transport input ssh
!
ntp update-calendar
ntp server 213.144.235.1 source Ethernet0.1
end

#########################3
Router#ping vrf Internet 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/25/32 ms
########################3
Router#ping vrf Internet 8.8.8.8 vlan 20
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 192.168.30.254
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/23/24 ms
##########################################
Router#ping vrf Internet 192.168.30.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.30.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
####################################
Router#show ip nat translations vrf Internet
Pro Inside global Inside local Outside local Outside global
icmp WAN IP:6 192.168.30.254:6 8.8.8.8:6 8.8.8.8:6
icmp WAN IP:7 192.168.30.254:7 8.8.4.4:7 8.8.4.4:7
#####################################

dinsdag 22 oktober 2013 23:43

Acties:

Ierlandfan

Topicstarter

Hmm..heb nu een constante ping (op de server) naar een IP van Google.nl lopen en zie deze niet terug in de NAT tabel.

Maar als ik vanaf de Router ping naar het IP van Google zie ik deze wel in de NAT tabel.

Ik zie wel verkeer van de server komen:

SEC-6-IPACCESSLOGP: list 101 permitted udp 192.168.30.1(61721) -> 192.168.30.254(53), 21 packets
Of:
SEC-6-IPACCESSLOGDP: list 101 permitted icmp 192.168.30.254 -> 192.168.30.1 (3/3), 135 packets
Of:
SEC-6-IPACCESSLOGP: list 101 permitted tcp 192.168.30.1(59210) -> 130.117.53.34(443), 2 packets

En voor de zekerheid:

#show arp vrf Internet
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.30.1 0 2892.4a2d.4f08 ARPA Vlan20
Internet 192.168.30.254 - 4403.a767.18ea ARPA Vlan20

Maar dan in de debug:

IP: s=192.168.30.1 (Vlan20), d=192.168.30.254, len 70, enqueue feature
.UDP src=62849, dst=53, TCP Adjust MSS(5), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE
.FIBipv4-packet-proc: route packet from Vlan20 src 192.168.30.1 dst 192.168.30.254
.FIBfwd-proc: Routit-Internet:192.168.30.254/32 receive entry

.FIBipv4-packet-proc: packet routing failed

.IP: tableid=1, s=192.168.30.1 (Vlan20), d=192.168.30.254 (Vlan20), routed via RIB
.IP: s=192.168.30.254 (local), d=192.168.30.1, len 56, local feature
.ICMP type=3, code=3, NAT(2), rtype 0, forus FALSE, sendself FALSE, mtu 0, fdchk FALSE
.FIBipv4-packet-proc: route packet from (local) src 192.168.30.254 dst 192.168.30.1
.FIBfwd-proc: packet routed by adj to Vlan20 192.168.30.1

.FIBipv4-packet-proc: packet routing succeeded
.
IP: s=192.168.30.254 (local), d=192.168.30.1 (Vlan20), len 56, sending .ICMP type=3, code=3

[ Voor 55% gewijzigd door Ierlandfan op 23-10-2013 00:02 ]

woensdag 23 oktober 2013 10:20

Acties:

Verwijderd

Hopelijk heb kan je hier wat mee, en misschien lost dit je probleem op:

ip vrf Internet heeft een uniek RD nodig (bijv: rd 1:1)

interface FastEthernet2 hoeft niet in vrf deze is layer 2 (SVI is L3)
interface ethernet0.1 hoeft niet in vrf is layer 2 (dialer1 is L3)

Indien het dan nog niet werkt probeer eens een NVI i.p.v de traditionele nat (inside,outisde). Deze heb ik altijd bij VRF's (bijv meerdere vrf naar 1 internet verbinding natten) gebruikt.

Laat even weten of je success hebt, zo niet kijken we verder.

woensdag 23 oktober 2013 21:50

Acties:

Ierlandfan

Topicstarter

Ik heb de wijzigingen doorgevoerd, eerst alleen Interface Fa2 en Ethernet 0.1 uit de vrf en rd 1:1 toegevoegd.
No go. Ik kan alles pingen vanaf de router (8.8.8.8 OK, 192.168.30.1 OK) maar er gaat geen verkeer vanaf binnen naar buiten.

Toen ip nat enable ipv ip nat inside en ip nat source list 101 dialer 1 vrf Routit-Internet overload ingesteld.
Router klaagt over dat ie vrf niet kan disablen en dat als vrf niet meer nodig is hij het gaat toepassen, toch toegevoegd en shut-no shut gedaan.
No go. Ik kan alles pingen vanaf de router (8.8.8.8 OK, 192.168.30.1 OK) maar er gaat geen verkeer vanaf binnen naar buiten.

In de normale config (zonder vrf) moest ik ip cef uitzetten anders werkte het niet. Dit is eigenlijk precies wat ik toen (met ip cef aan) ook zag. Alleen heeft de vrf ip cef nodig en uitzetten heeft ook geen resultaat. (Ik heb het wel geprobeerd.)

donderdag 24 oktober 2013 10:16

Acties:

Verwijderd

Wat raar dat met CEF aan het niet werkt, ik zie geen reden waarom dit het geval is (PPP is gewoon CEF compatible). Wat is je huidige running-config en platform?
Kan je vanaf het werkstation 192.168.30.254 pingen? Als dat werkt kan je ook het Dialer1 adres pingen?
Indien beide werken, maar 8.8.8.8 bijv niet. Dan moet het probleem zich haast binnen NAT bevinden.
Kan je beide niet pingen, dan lijkt het een (L2) vlan20 probleem, deze zou je namelijk gewoon moeten kunnen bereiken vanuit intern (los van wat voor VRF hij in zit).

donderdag 24 oktober 2013 10:56

Acties:

Ierlandfan

Topicstarter

Kan je beide niet pingen, dan lijkt het een (L2) vlan20 probleem, deze zou je namelijk gewoon moeten kunnen bereiken vanuit intern (los van wat voor VRF hij in zit).

Ik heb een constante ping op de server gestart naar dialer 1 IP en naar gateway (192.168.30.254)
Ok hier zie ik in de debug van de router "packet routing failed zowel van 30.1 naar 30.254
als van 30.1 naar WAN IP op dialer 1.

donderdag 24 oktober 2013 14:05

Acties:

Verwijderd

Met dit als config?

ip vrf Internet
rd 1:1

interface Vlan20
ip vrf forwarding Internet
ip address 192.168.30.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452

interface FastEthernet2
description Internet-vlan
switchport access vlan 20

Als je dan een native packet (icmp ping) op fa2 ontvangt in de range van 192.168.30.0/24 en hij geen reply krijgt van 192.168.30.254, moet het haast een fout zijn in de sequentie van opbouw van de VRF (heb dit ooit 1x gezien, reboot fixed dit) of een IOS bug (update IOS). Dit moet namelijk gewoon al werken.

edit: Ik zie dat je op sommige plaatsen iets zegt over routit-internet VRF, gebruik je deze ook? Geef nog eens een actuele running-config output.

[ Voor 10% gewijzigd door Verwijderd op 24-10-2013 14:16 ]

donderdag 24 oktober 2013 18:48

Acties:

Ierlandfan

Topicstarter

Voor de duidelijkheid had ik de vrf hier Internet genoemd. In de echte config staat het goed.

Vanaf de dialer 1 kan ik de server ook niet benaderen.

Volgende stap: scheduled reboot van de server en config erin zetten. Dan is het een nieuwe verbinding die de server maakt en kijken of ie het dan wel doet.

Anders config erin zetten en saven en rebooten van de router. Maar dat doe ik liever niet. Aan de andere kant kan ik er altijd via de ipvpn bij dus eigenlijk niet zo'n probleem.

vrijdag 25 oktober 2013 16:11

Acties:

Verwijderd

Voor de duidelijkheid: voor de reboot bedoelde ik puur de router (met vrf config). Success

woensdag 30 oktober 2013 21:52

Acties:

Ierlandfan

Topicstarter

Voordat ik dit probeerde bij de klant had ik natuurlijk de config getest. Dit was op een 887 VAW
(De W staat voor losstaand Wlan AP ingebouwd, heeft eigen firmware, niet van invloed)
Dat werkte. Ik heb de router die hierboven het probleem geeft (887VA) nu in het lab staan en een reload met bovenstaande config laat precies hetzelfde zien. Er is geen nieuwe firmware voor dat ding.
De router loopt ook vast tijdens het debuggen dus ik vermoed dat de router kuren heeft of de firmware.
Ik ga het eens proberen met een iets oudere versie.

dinsdag 5 november 2013 12:46

Acties:

Ierlandfan

Topicstarter

Probleem bleek in de Cisco FW te liggen
Na een onderhoud met Cisco Support een langdurige websessie kwamen we erachter dat het het logging command was en dan specifiek deze regel

code:

1	access-list 101 permit ip 192.11.10.0 0.0.0.255 any log

Het "log" command in combinatie met VRF en NAT zorgt ervoor dat het niet werkte.

Cisco gaat dit onderzoeken en oplossen.

Een workaround is om gewoon geen "log" erachter te zetten.
Zoals dit:

code:

1	access-list 101 permit ip 192.11.10.0 0.0.0.255 any

Werkte meteen!

FW:

Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.3(3)M1, RELEASE SOFTWARE (fc1) en mogelijk eerdere releases in dezelfde brache

woensdag 6 november 2013 22:49

Acties:

zenith

Bizar!

Goed om de oplossing te zien

Pagina: 1

Reageer