RE: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
> David Ponzone a écrit : > Et je complète: le reboot a corrigé le truc et m’a fait sauter une ligne de > conf sans > rapport direct (un port-forward vers un client dans un VPN MPLS). Jamais vu > ça avant. Welcome to Cisco :P Il y a plein de fois ou le reboot a pas suffi et j'ai fait un write erase et copié/collé la même exacte config et c'est tombé en marche. Vas comprendre, Charles. Les autres vendeurs, c'est pas meilleur et souvent pire, AMHA. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
> David Ponzone a écrit : > Et je complète: le reboot a corrigé le truc et m’a fait sauter une ligne de > conf sans > rapport direct (un port-forward vers un client dans un VPN MPLS). Jamais vu > ça avant. J'ai une confession : j'ai des problèmes zarbis avec NAT et VRF aussi et je t'ai laissé t'enfoncer dedans sans rien dire. Bonne excuse : j'étais en vacances. Mauvaise excuse : j'ai lu le fil. T'es pas tout seul; excuse moi si je n'ai pas le temps de t'aider avec çà. Je suis occupé à organiser la beuverie de dé-commissionner DECNET phase IV. 27 ans de bons et loyaux services. J'ai des bonnes statistiques : en 27 ans qu'on a maintenu ce fossile, 50% sont tombés en panne et on du être remplacés. Mylex DAC-960 EISA, mon second amour. Michel. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Et je complète: le reboot a corrigé le truc et m’a fait sauter une ligne de conf sans rapport direct (un port-forward vers un client dans un VPN MPLS). Jamais vu ça avant. > Le 7 juin 2019 à 08:35, David Ponzone a écrit : > > Hélas, pas le temps de faire ça. > > Le reboot a bien corrigé le truc. > > >> Le 6 juin 2019 à 08:22, Paul Rolland (ポール・ロラン) a écrit >> : >> >> Hello, >> >> On Wed, 5 Jun 2019 20:41:12 +0200 >> David Ponzone wrote: >> >>> Tu penses bien que j’ai déjà envisagé ça et fait toutes les permutations >>> possibles. >> >> Il fallait que je demande, il y a des gens qui ne veulent pas entendre >> parler des netmask avec des bits a 1 eparpilles ;) >> >>> En fait maintenant je sais: si le paquet a comme IP source 10.11.X.Y, >>> l’ACL est correctement matchée. Si c’est 10.15.X.Y, ça matche pas le >>> deny, et c’est NATé. >>> >>> Je pense que j’ai fait le tour, ça ne peut être qu’un bug: That’s Cisco >>> after all. >> >> Bah le coup d'apres, c'est de voir ce que ca donne apres un reload... mais >> dans ce cas, tu perds ton terrain de jeu. T'as pas un autre routeur ^C^V du >> premier que tu peux mettre a la place pour voir si il a le meme soucis ? >> Comme ca, tu as tjrs l'autre up'n'running pour essayer de comprendre. >> >> Paul >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Hélas, pas le temps de faire ça. Le reboot a bien corrigé le truc. > Le 6 juin 2019 à 08:22, Paul Rolland (ポール・ロラン) a écrit : > > Hello, > > On Wed, 5 Jun 2019 20:41:12 +0200 > David Ponzone wrote: > >> Tu penses bien que j’ai déjà envisagé ça et fait toutes les permutations >> possibles. > > Il fallait que je demande, il y a des gens qui ne veulent pas entendre > parler des netmask avec des bits a 1 eparpilles ;) > >> En fait maintenant je sais: si le paquet a comme IP source 10.11.X.Y, >> l’ACL est correctement matchée. Si c’est 10.15.X.Y, ça matche pas le >> deny, et c’est NATé. >> >> Je pense que j’ai fait le tour, ça ne peut être qu’un bug: That’s Cisco >> after all. > > Bah le coup d'apres, c'est de voir ce que ca donne apres un reload... mais > dans ce cas, tu perds ton terrain de jeu. T'as pas un autre routeur ^C^V du > premier que tu peux mettre a la place pour voir si il a le meme soucis ? > Comme ca, tu as tjrs l'autre up'n'running pour essayer de comprendre. > > Paul > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
J’ai essayé, j’ai l’impression que d’être passé sur une ACL numérotée puis repassée sur une nommée a changé les choses. J’ai des ping qui ne passaient pas avant qui passent et inversement…. Ca rend fou... > Hello, > > Une piste à défaut d'en savoir plus sur la config: essayer une ACL numérotée > à la place de l'ACL nommée. > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Hello, On Wed, 5 Jun 2019 20:41:12 +0200 David Ponzone wrote: > Tu penses bien que j’ai déjà envisagé ça et fait toutes les permutations > possibles. Il fallait que je demande, il y a des gens qui ne veulent pas entendre parler des netmask avec des bits a 1 eparpilles ;) > En fait maintenant je sais: si le paquet a comme IP source 10.11.X.Y, > l’ACL est correctement matchée. Si c’est 10.15.X.Y, ça matche pas le > deny, et c’est NATé. > > Je pense que j’ai fait le tour, ça ne peut être qu’un bug: That’s Cisco > after all. Bah le coup d'apres, c'est de voir ce que ca donne apres un reload... mais dans ce cas, tu perds ton terrain de jeu. T'as pas un autre routeur ^C^V du premier que tu peux mettre a la place pour voir si il a le meme soucis ? Comme ca, tu as tjrs l'autre up'n'running pour essayer de comprendre. Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Le 05/06/2019 à 20:41, David Ponzone a écrit : Tu penses bien que j’ai déjà envisagé ça et fait toutes les permutations possibles. En fait maintenant je sais: si le paquet a comme IP source 10.11.X.Y, l’ACL est correctement matchée. Si c’est 10.15.X.Y, ça matche pas le deny, et c’est NATé. Je pense que j’ai fait le tour, ça ne peut être qu’un bug: That’s Cisco after all. Le 5 juin 2019 à 09:45, Paul Rolland (ポール・ロラン) a écrit : Hello, On Wed, 5 Jun 2019 09:17:31 +0200 David Ponzone wrote: ip access-list extended test deny ip 10.11.0.0 0.0.255.255 10.11.0.0 0.0.255.255 -> celle-ci exclut bien le traffic à ne pas NATer deny ip 10.11.0.0 0.0.255.255 10.15.0.0 0.0.255.255 -> celle-ci ne fait pas son job deny ip 10.15.0.0 0.0.255.255 10.11.0.0 0.0.255.255 -> non plus deny ip 10.15.0.0 0.0.255.255 10.15.0.0 0.0.255.255 -> non plus permit ip 10.11.0.0 0.0.255.255 any permit ip 10.15.0.0 0.0.255.255 any Ca sent l'ACL qui ne fait que le premier deny... Jamais vu ca... mais du coup, tu peux essayer ca : ip access-list extended test deny ip 10.11.0.0 0.4.255.255 10.11.0.0 0.4.255.255 permit ip 10.11.0.0 0.0.255.255 any permit ip 10.15.0.0 0.0.255.255 any pour matcher tous tes deny en une seule ACL (tu as de la chance, c'est possible dans ton cas). OK, c'est pas propre, c'est complique a lire, mais normalement, chez Cisco, ca marche... Paul Hello, Une piste à défaut d'en savoir plus sur la config: essayer une ACL numérotée à la place de l'ACL nommée. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Tu penses bien que j’ai déjà envisagé ça et fait toutes les permutations possibles. En fait maintenant je sais: si le paquet a comme IP source 10.11.X.Y, l’ACL est correctement matchée. Si c’est 10.15.X.Y, ça matche pas le deny, et c’est NATé. Je pense que j’ai fait le tour, ça ne peut être qu’un bug: That’s Cisco after all. > Le 5 juin 2019 à 09:45, Paul Rolland (ポール・ロラン) a écrit : > > Hello, > > On Wed, 5 Jun 2019 09:17:31 +0200 > David Ponzone wrote: > >> ip access-list extended test >> deny ip 10.11.0.0 0.0.255.255 10.11.0.0 0.0.255.255 -> celle-ci exclut >> bien le traffic à ne pas NATer deny ip 10.11.0.0 0.0.255.255 10.15.0.0 >> 0.0.255.255 -> celle-ci ne fait pas son job deny ip 10.15.0.0 >> 0.0.255.255 10.11.0.0 0.0.255.255 -> non plus deny ip 10.15.0.0 >> 0.0.255.255 10.15.0.0 0.0.255.255 -> non plus permit ip 10.11.0.0 >> 0.0.255.255 any permit ip 10.15.0.0 0.0.255.255 any > > Ca sent l'ACL qui ne fait que le premier deny... Jamais vu ca... mais du > coup, tu peux essayer ca : > > ip access-list extended test > deny ip 10.11.0.0 0.4.255.255 10.11.0.0 0.4.255.255 > permit ip 10.11.0.0 0.0.255.255 any > permit ip 10.15.0.0 0.0.255.255 any > > pour matcher tous tes deny en une seule ACL (tu as de la chance, c'est > possible dans ton cas). > > OK, c'est pas propre, c'est complique a lire, mais normalement, chez Cisco, > ca marche... > > Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Hello, On Wed, 5 Jun 2019 09:17:31 +0200 David Ponzone wrote: > ip access-list extended test > deny ip 10.11.0.0 0.0.255.255 10.11.0.0 0.0.255.255 -> celle-ci exclut > bien le traffic à ne pas NATer deny ip 10.11.0.0 0.0.255.255 10.15.0.0 > 0.0.255.255 -> celle-ci ne fait pas son job deny ip 10.15.0.0 > 0.0.255.255 10.11.0.0 0.0.255.255 -> non plus deny ip 10.15.0.0 > 0.0.255.255 10.15.0.0 0.0.255.255 -> non plus permit ip 10.11.0.0 > 0.0.255.255 any permit ip 10.15.0.0 0.0.255.255 any Ca sent l'ACL qui ne fait que le premier deny... Jamais vu ca... mais du coup, tu peux essayer ca : ip access-list extended test deny ip 10.11.0.0 0.4.255.255 10.11.0.0 0.4.255.255 permit ip 10.11.0.0 0.0.255.255 any permit ip 10.15.0.0 0.0.255.255 any pour matcher tous tes deny en une seule ACL (tu as de la chance, c'est possible dans ton cas). OK, c'est pas propre, c'est complique a lire, mais normalement, chez Cisco, ca marche... Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Pas de debug ip nat vrf sur cet ASR :( Et les compteurs d’ACL ne s’incrémentent pas non plus. Je te cache pas que l’IOS est pas tout jeune. Je pense que j’ai isolé ce qui délire. L’ACL pour le NAT est: ip access-list extended test deny ip 10.11.0.0 0.0.255.255 10.11.0.0 0.0.255.255 -> celle-ci exclut bien le traffic à ne pas NATer deny ip 10.11.0.0 0.0.255.255 10.15.0.0 0.0.255.255 -> celle-ci ne fait pas son job deny ip 10.15.0.0 0.0.255.255 10.11.0.0 0.0.255.255 -> non plus deny ip 10.15.0.0 0.0.255.255 10.15.0.0 0.0.255.255 -> non plus permit ip 10.11.0.0 0.0.255.255 any permit ip 10.15.0.0 0.0.255.255 any Et j’ai aussi isolé que ça ne le fait que sur un ASR (celui sur lequel arrive le site A du client) et pas celui sur lequel arrive le site B. J’ai essayé de transformer le NAT avec acl en NAT avec route-map: pas mieux. Ca sent bon le reboot… PS: ça c’est un client en cours de mise en prod mais hier, un client en prod a appelé parce qu’il a 2 sites qui ne communiquent plus: même archi... > Le 5 juin 2019 à 08:15, Paul Rolland (ポール・ロラン) a écrit : > > Hello David, > > On Tue, 4 Jun 2019 08:31:08 +0200 > David Ponzone wrote: > >> Ca sent le bug et le reboot mais si quelqu’un a une meilleure idée ou une >> confirmation, je suis preneur… > > Tu as surement deja regarde, mais au cas ou... > - debug ip nat (detailed|vrf|xx) > - show access-list pour regarder les compteurs de matching > Apres, comme l'a dit Rudy, tu donnes peu d'info, c'est difficile d'analyser. > > Paul > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Hello David, On Tue, 4 Jun 2019 08:31:08 +0200 David Ponzone wrote: > Ca sent le bug et le reboot mais si quelqu’un a une meilleure idée ou une > confirmation, je suis preneur… Tu as surement deja regarde, mais au cas ou... - debug ip nat (detailed|vrf|xx) - show access-list pour regarder les compteurs de matching Apres, comme l'a dit Rudy, tu donnes peu d'info, c'est difficile d'analyser. Paul --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco et NAT fou en sortie de VRF
Le 04/06/2019 à 08:31, David Ponzone a écrit : Ciscomaniaques, Je crois que je deviens fou. Une ACL de NAT (inside source list) en sortie d’un VRF vers Internet qui se met à matcher tous les paquets alors qu’elle devrait pas, quelqu’un a déjà vu ? Une ACL classique du type: deny ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255 permit ip 10.0.0.0 0.255.255.255 any Je me retrouve avec des paquets de 10.X.X.X vers 10.Y.Y.Y qui sont natés et qui arrivent quand même à 10.Y.Y.Y alors que 10.Y.Y.Y n’est connue que dans le VRF (en BGP VPNv4) donc NAT en restant dans le VRF alors que ma seule route de sortie du VRF, c’est la route par défaut vers global. Ca sent le bug et le reboot mais si quelqu’un a une meilleure idée ou une confirmation, je suis preneur… Merci David --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonsoir, Il faudrait un peu de détail sur la config, a minima: interfaces .* ip route vrf .* ip nat inside .* ip access-list .* access-list .* Salutations. Rudy --- Liste de diffusion du FRnOG http://www.frnog.org/
