RE: [FRnOG] [TECH] IP Nat sur Cisco

2016-04-18 Par sujet Michel Py 
> Antoine Durant a écrit :
> [..]

Ca serait plus clair si tu formulais le besoin, pas la config qui ne marche pas.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Slides ExaBGP FRnOG 26

2016-04-18 Par sujet Thomas Mangin 
Bonjour,

Pour ceux qui aiment vraiment se torturer l’esprit.
http://thomas.mangin.com/data/pdf/FRnOG%2026%20ExaBGP.pdf

Thomas


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

2016-04-18 Par sujet David Ponzone 
Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro 
n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. 
Pas que Cisco.

Pour la conf, c’est pas ça.
C’est plutôt:

interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set ip next-hop 
! 
ip access-list extended HOST-NAT
 permit ip 192.168.1.0 0.0.0.255 any


Mais vraiment, aucune garantie.



> Le 18 avr. 2016 à 13:19, Antoine Durant  a écrit :
> 
> Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode 
> bidouille pour faire ça :(
> 
> Est-ce que cette configuration te semble bonne pour le PBR ?
> 
> interface FastEthernet0/1
>  ip address 192.168.1.254 255.255.255.0
>  ip nat inside
>  ip virtual-reassembly
>  ip policy route-map INSIDE-IP-PUBLIC
> ! 
> route-map INSIDE-IP-PUBLIC permit 10
>  match ip address HOST-NAT
>  set interface Loopback0
> ! 
> ip access-list extended HOST-NAT
>  permit ip any host 1.1.1.1
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Sébastien 65 ; "frnog-t...@frnog.org" 
> 
> Envoyé le : Lundi 18 avril 2016 12h26
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Tu peux tenter avec le PBR mais bon, on est dans la bidouille.
> 
> 
> 
> > Le 18 avr. 2016 à 12:24, Antoine Durant  > > a écrit :
> > 
> > Ma demande initiale a bien changé c'est vrai.
> > Dans le second cas, il n'est pas possible de faire ce que je cherche 
> > lorsque je suis en ip nat inside afin de permettre au lan d'utiliser le 
> > service web en ip public ?
> > 
> > 
> > 
> > De : David Ponzone  > >
> > À : Antoine Durant  > > 
> > Cc : Sébastien 65 >; 
> > "frnog-t...@frnog.org "  > >
> > Envoyé le : Lundi 18 avril 2016 11h54
> > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> > 
> > Oui c’est normal. On a probablement pas été assez clair.
> > Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> > ton paquet entre dans le routeur par l’interface qui est en « ip nat 
> > outside ».
> > Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> > Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> > 
> > 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/ 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

2016-04-18 Par sujet Antoine Durant 
Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode 
bidouille pour faire ça :(
Est-ce que cette configuration te semble bonne pour le PBR ?
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip policy route-map INSIDE-IP-PUBLIC
! 
route-map INSIDE-IP-PUBLIC permit 10
 match ip address HOST-NAT
 set interface Loopback0
! 
ip access-list extended HOST-NAT
 permit ip any host 1.1.1.1

  De : David Ponzone 
 À : Antoine Durant  
Cc : Sébastien 65 ; "frnog-t...@frnog.org" 

 Envoyé le : Lundi 18 avril 2016 12h26
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Tu peux tenter avec le PBR mais bon, on est dans la bidouille.



> Le 18 avr. 2016 à 12:24, Antoine Durant  a écrit :
> 
> Ma demande initiale a bien changé c'est vrai.
> Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque 
> je suis en ip nat inside afin de permettre au lan d'utiliser le service web 
> en ip public ?
> 
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Sébastien 65 ; "frnog-t...@frnog.org" 
> 
> Envoyé le : Lundi 18 avril 2016 11h54
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Oui c’est normal. On a probablement pas été assez clair.
> Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> ton paquet entre dans le routeur par l’interface qui est en « ip nat outside 
> ».
> Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

2016-04-18 Par sujet David Ponzone 
Tu peux tenter avec le PBR mais bon, on est dans la bidouille.



> Le 18 avr. 2016 à 12:24, Antoine Durant  a écrit :
> 
> Ma demande initiale a bien changé c'est vrai.
> Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque 
> je suis en ip nat inside afin de permettre au lan d'utiliser le service web 
> en ip public ?
> 
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Sébastien 65 ; "frnog-t...@frnog.org" 
> 
> Envoyé le : Lundi 18 avril 2016 11h54
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Oui c’est normal. On a probablement pas été assez clair.
> Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que 
> ton paquet entre dans le routeur par l’interface qui est en « ip nat outside 
> ».
> Ce qui n’est pas le cas quand tu arrives depuis le LAN.
> Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.
> 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

2016-04-18 Par sujet Antoine Durant 
Ma demande initiale a bien changé c'est vrai. Dans le second cas, il n'est pas 
possible de faire ce que je cherche lorsque je suis en ip nat inside afin de 
permettre au lan d'utiliser le service web en ip public ? 


  De : David Ponzone 
 À : Antoine Durant  
Cc : Sébastien 65 ; "frnog-t...@frnog.org" 

 Envoyé le : Lundi 18 avril 2016 11h54
 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
   
Oui c’est normal. On a probablement pas été assez clair.
Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton 
paquet entre dans le routeur par l’interface qui est en « ip nat outside ».
Ce qui n’est pas le cas quand tu arrives depuis le LAN.
Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.


  
---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] IP Nat sur Cisco

2016-04-18 Par sujet David Ponzone 
Oui c’est normal. On a probablement pas été assez clair.
Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton 
paquet entre dans le routeur par l’interface qui est en « ip nat outside ».
Ce qui n’est pas le cas quand tu arrives depuis le LAN.
Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part.




> Le 17 avr. 2016 à 14:19, Antoine Durant  a écrit :
> 
> Même sans PBR je n'arrive pas à utiliser l'IP public sur loopback de R1 
> depuis le réseau lan du même routeur. Par exemple depuis R2 j'ai pas de 
> problème pour utiliser l'ip public loopback de R1...
> 
> J'ai quelque chose de particulier à faire pour le lan ?
> 
> 
> De : David Ponzone 
> À : Antoine Durant  
> Cc : Sébastien 65 ; "frnog-t...@frnog.org" 
> 
> Envoyé le : Dimanche 17 avril 2016 13h46
> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
> 
> Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que 
> j’ai suggéré.
> L’un ou l’autre.
> 
> 
> 
>> Le 17 avr. 2016 à 13:42, Antoine Durant > > a écrit :
>> 
>> J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur 
>> une loopback de R1 et meme chose pour R2.
>> 
>> Est-ce que ta manip est la même à faire sur R1 ?
>> 
>> 
>> De : David Ponzone >
>> À : Antoine Durant > > 
>> Cc : Sébastien 65 >; 
>> "frnog-t...@frnog.org " > >
>> Envoyé le : Dimanche 17 avril 2016 11h00
>> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>> 
>> Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur 
>> appliquer un set ip next-hop 
>> 
>> https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing 
>> 
>> 
>> David Ponzone
>> 
>> 
>> 
>> Le 16 avr. 2016 à 11:41, Antoine Durant > > a écrit :
>> 
>>> J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir 
>>> déclarer forfait...
>>> 
>>> Le PBR doit être mis sur l'interface lan c'est bien ça ?
>>> Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ?
>>> 
>>> 
>>> De : David Ponzone >> >
>>> À : Antoine Durant >> > 
>>> Cc : Sébastien 65 >; 
>>> "frnog-t...@frnog.org " >> >
>>> Envoyé le : Mercredi 13 avril 2016 22h58
>>> Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco
>>> 
>>> Il y a une bidouille avec des Loopback, immonde:
>>> 
>>> https://supportforums.cisco.com/discussion/12102421/nat-hairpinning 
>>> 
>>> 
>>> Mais sinon, un autre moyen de régler ton problème avec la conf actuelle 
>>> serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour 
>>> l’envoyer directement sur ROUTEUR-TEST avec un set next-hop.
>>> Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça 
>>> marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour 
>>> pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la 
>>> table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc 
>>> éviter le lookup de la RIB par ROUTEUR-NAT).
>>> 
>>> 
>>> 
>>> > Le 13 avr. 2016 à 15:29, Antoine Durant >> > > a écrit :
>>> > 
>>> > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand 
>>> > même une question que je n'arrive pas à résoudre/comprendre :
>>> > Comment faire depuis le lan client pour pouvoir utiliser l'ip public 
>>> > depuis mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 
>>> > 1.1.1.1 naté vers 192.168.1.1 ?
>>> > Possible à faire en utilisant ip nat out/in ou pas??
>>> > Merci pour l'explication
>>> > 
>>> >
>>> > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur 
>>> > ces routeurs ?
>>> > 
>>> > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers 
>>> > R1/R2 via un ip route.
>>> > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, 
>>> > tu conserves ton ip nat outside et ip nat Inside.
>>> > 
>>> > 
>>> > ---
>>> > Liste de diffusion du FRnOG
>>> > http://www.frnog.org/ 
>>> > 
>>> > 
>>> > ---
>>> > Liste de diffusion du FRnOG
>>> > http://www.frnog.org/