7200, c’est quoi ? Le lease-time par défaut du serveur DHCP ? Si tu forces à 1800 de ton côté, ça aide pas ?
Jamais entendu parler d’un automatisme de ce genre chez Cisco à cause d’un ip nat inside, mais je fais jamais ça. Je renvoie que les ports 1024-6535, 443 et 500. Le cisco avec ce ip nat inside, il arrive à pinger l’extérieur ? > Le 31 mai 2023 à 17:23, Sébastien 65 <sebastien...@live.fr> a écrit : > > David, > > Pas si évident que ça 🙂 Comme j'ai dit dans le mail précédent le problème > n'est présent qu'avec l'utilisation du 'ip nat inside' pour pousser le flux > du WAN vers un autre équipement (équipement local type firewall connecté > derrière le CISCO). > > De base la configuration du DHCP lease est de 7200s, dès que la commande 'ip > nat inside ...' est présente dans le routeur bin toutes les 2H j'ai droit à : > > May 30 23:29:34.302: %DHCP-5-RESTART: Interface GigabitEthernet8 is being > restarted by DHCP > > May 30 23:29:36.302: %LINK-5-CHANGED: Interface GigabitEthernet8, changed > state to administratively down > May 30 23:29:37.302: %LINEPROTO-5-UPDOWN: Line protocol on Interface > GigabitEthernet8, changed state to down > May 30 23:29:39.330: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed > state to down > May 30 23:29:42.938: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed > state to up > May 30 23:29:43.938: %LINEPROTO-5-UPDOWN: Line protocol on Interface > GigabitEthernet8, changed state to up > May 30 23:29:46.522: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet8 > assigned DHCP address X.X.X.X, mask 255.255.255.0, hostname 892FSP-XXXXX > > Sur le même principe de l'interface WAN en mode DHCP, j'ai des routeurs sur > lesquels le 'ip nat inside' n'est pas utilisé, magie ou pas aucun problème > sur le DOWN/UP du port WAN. > J'ai un routeur qui a reboot il y a 2 jours, le show log indique la récup de > l'adresse DHCP le 29/05 et depuis rien de plus dans les logs... Pourtant même > serveur DHCP en face. > > > Sébastien > > De : David Ponzone <david.ponz...@gmail.com> > Envoyé : mercredi 31 mai 2023 16:14 > À : Sébastien 65 <sebastien...@live.fr> > Cc : frnog-t...@frnog.org <frnog-t...@frnog.org> > Objet : Re: [FRnOG] [TECH] CISCO DHCP WAN port UP/DOWN > > Seb, > > Hmm dans mon monde à moi, le DHCP renew est à l’initiative du client, sauf si > le serveur implémente FORCERENEW, et que le Cisco l’honore. > Donc tu devrais pas avoir de problème si tu forces un lease plus court sur le > Cisco avec « ip dhcp client lease 0 0 5 » ou un truc du genre. > > > Le 31 mai 2023 à 15:52, Sébastien 65 <sebastien...@live.fr> a écrit : > > > > Bonjour à tous, > > > > Sur des routeurs CISCO (88X/89X/etc...) ayant le port WAN en mode DHCP et > > utilisant la règle 'ip nat inside source static ip-lan-du-firewall > > ip-wan-loopback extendable' lors de la fin du lease DHCP l'IOS fait tomber > > le port WAN (Down/Up)... > > > > La commande 'ip nat inside source X X extendable' remplie bien la fonction > > car tout ce qui arrive sur le port WAN est automatiquement renvoyé sur l'IP > > indiquée. Aucun problème à ce niveau. > > > > Le problème est que dès que la renégo du DHCP arrive, la requête est > > transférée sur l'équipement ip-lan-firewall et pas sur l'interface WAN du > > CISCO. La conséquence est que l'IOS fait tomber le port UP/DOWN pour > > pouvoir récupérer "enfin" une IP sur son interface WAN. > > > > J'ai essayé de forcer les requêtes provenant du serveur DHCP à rester sur > > l'interface WAN (ici GE8) mais sans succès : > > ip nat inside source static udp X.X.X.X 67 interface GigabitEthernet8 67 > > ip nat inside source static udp X.X.X.X 68 interface GigabitEthernet8 68 > > > > Le phénomène est que toutes les 2H le port WAN GE8 fait DOWN/UP. La > > modification du lease n'est pas la solution car cela reporte uniquement le > > problème sans le résoudre... > > > > Est-ce que quelqu'un connait le phénomène et la solution ? > > > > Merci 🙂 > > > > Sébastien > > > > > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ <http://www.frnog.org/> --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
