Comprar o Renovar
Comprar o Renovar
NOTICE: You can now engage in the community. Learn about the great new Cisco Umbrella content.
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1279
Visitas
5
ÚTIL
3
Respuestas

Configuración de NAT para accesos remotos

JorgeL_Miranda
Level 1
Level 1

el ‎07-09-2020 11:08 AM

Buenas a toda la comunidad

 

Tengo un problema que me ha llevado varios días estudiar que solución dar a mi cliente.

Tengo configurado un nateo para un acceso remoto de mi cliente hacia su servidor, consta de un pool por el cuál varios usuarios pueden acceder a su recurso desde fuera, sin embargo ahora me ha solicitado crear otro acceso a otro servidor.

He aplicado la misma configuración ya que funciona correctamente, sin embargo lo que necesitan es que un usuario pueda desconectarse de un acceso para luego conectarse a otro, el problema es que el router le sigue manteniendo la misma IP del pool anterior al usuario por lo que no puede conectarse a su otro recurso.

Este problema también sucede a la inversa cuando quieren conectarse del nuevo acceso al viejo, ya he probado a reducir los "timeout" para que se limpien más rápido de la tabla de NAT pero veo que tras borrarse vuelven a aparecer.

 

Acompaño parte de la configuración:

 

**** He probado a bajar el timeout a 5 segundos para que se limpie la tabla de NAT lo más rápido posible ***

ip nat translation timeout 5
ip nat translation tcp-timeout 5


ip nat pool VPN_EXT 172.13.1.17 172.13.1.31 netmask 255.255.255.240 type rotary  ---> Pool para acceso nuevo
ip nat pool VPN_CL 172.13.1.33 172.13.1.47 netmask 255.255.255.240 type rotary   ---> Pool para acceso antiguo
ip nat inside source static tcp 172.23.54.33 443 195.235.XXX.YYY 443 extendable ---> Acceso al servidor antiguo
ip nat inside source static tcp 172.23.54.97 443 195.235.AAA.BBB 443 extendable ---> Acceso al servidor nuevo
ip nat outside source list FILTRO_VPN_CL pool VPN_CL add-route ---> Filtro de salida del acceso nuevo
ip nat outside source list FILTRO_VPN_EXT pool VPN_EXT add-route ---> Filtro de salida del acceso antiguo



ip route 172.23.81.16 255.255.255.255 172.23.54.97 name VPN_CL
ip route 172.23.90.132 255.255.255.255 172.23.54.33 name SERVIDOR


ip access-list extended FILTRO_VPN_CL
permit tcp any host 195.235.AAA.BBB eq 443
ip access-list extended FILTRO_VPN_EXT
permit tcp any host 195.235.XXX.YYY eq 443

 

De las pruebas que he realizado veo que por lo menos hay que esperar unos 4-5 min para que realmente no haya ninguna IP asignada a la IP pública del usuario y pueda acceder a su otro recurso, el problema es que es demasiado tiempo de espera.

¿Habría alguna solución para que cada IP asignada a cada usuario pueda ser limpiada rápidamente y así pueda acceder a su otro recurso sin problemas?

 

Muchas gracias por toda vuestra ayuda.

3 RESPUESTAS 3

Julio E. Moisa
VIP
VIP

‎07-09-2020 01:18 PM - editado ‎07-09-2020 01:27 PM

Hola

Segun entiendo quieres hacer un balanceo entre direccion IP del pool, si es correcto, te recomiendo este video que hice hace un tiempo: 

 

https://www.youtube.com/watch?v=oQDSmVsnmnI&t=7s

 

Observa bien la sintaxis, no se usa inside, sino outside.

 

Saludos




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

Hilda Arteaga
Cisco Employee
Cisco Employee
En respuesta a Julio E. Moisa

el ‎07-13-2020 08:34 PM

Estimado @Julio E. Moisa, gracias por el apoyo y por dar referencias del video 

 

@JorgeL_Miranda no olvides dar un punto de utilidad si la información ha sido de utilidad  

0 Útil

JorgeL_Miranda
Level 1
Level 1
En respuesta a Julio E. Moisa

el ‎07-14-2020 01:12 PM

Muchas gracias por la aportación, según entiendo el balanceo de carga explicado en el vídeo es para acceder a los servidores de manera indiscriminada, sin embargo lo que los usuarios necesitan es poder decidir a que servidor quieren acceder apuntando a la IP que le corresponde a cada uno.

 

Como puse anteriormente en la configuración existen dos servidores que tienen configurados con las IP 195.235.AAA.BBB y 195.235.XXX.YYY como dichos servidores son utilizados como recursos totalmente distintos no serviría balanceárles el acceso a uno y otro ya que los usuarios tienen que decidir a cuál entrar.

 

El problema radica en que una vez el router asigna una IP traducida en la tabla NAT, este no la elimina correctamente una vez el usuario se desconecta de ese recurso para acceder al otro, por lo tanto intenta acceder al otro servidor con una IP del otro pool, por lo que no funciona la conexión y se debe eliminar manualmente en la tabla o esperar hasta que se elimine automáticamente después de no usarlo durante un tiempo.

 

Muchas gracias y un saludo.

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Videos de R&S Documentos de R&S Blogs de R&S
Customers Also Viewed These Support Documents