【スタティックNAT】debug ip nat で確認すると行きのパケットが表示されない

###環境
GNS3

###現状
・疎通可
PC-1←→R1
R1←→PC-2

・疎通不可
PC-1←→PC-2

debug ip nat

①R1→PC-2へping 100.1.1.2を飛ばしたとき以下のログが表示される。

R1#ping 100.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/13/20 ms
R1#
*Mar  1 00:57:22.175: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [30]
*Mar  1 00:57:22.179: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [31]
*Mar  1 00:57:22.203: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [32]
*Mar  1 00:57:22.219: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [33]
*Mar  1 00:57:22.231: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [34]

②PC-2→R1へping 100.1.1.1を飛ばしたとき以下のログが表示される。

R1#
*Mar  1 00:57:43.567: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [6775]
*Mar  1 00:57:43.567: NAT: s=192.168.0.1->100.1.1.1, d=100.1.1.2 [6775]
R1#
*Mar  1 00:57:44.611: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [6776]
*Mar  1 00:57:44.611: NAT: s=192.168.0.1->100.1.1.1, d=100.1.1.2 [6776]
R1#
*Mar  1 00:57:45.643: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [6777]
*Mar  1 00:57:45.643: NAT: s=192.168.0.1->100.1.1.1, d=100.1.1.2 [6777]
R1#
*Mar  1 00:57:46.683: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [6778]
*Mar  1 00:57:46.683: NAT: s=192.168.0.1->100.1.1.1, d=100.1.1.2 [6778]
R1#
*Mar  1 00:57:47.719: NAT*: s=100.1.1.2, d=100.1.1.1->192.168.0.1 [6779]
*Mar  1 00:57:47.719: NAT: s=192.168.0.1->100.1.1.1, d=100.1.1.2 [6779]
R1#
*Mar  1 00:58:22.651: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 6 (6)
R1#
*Mar  1 00:58:43.643: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 30490 (30490)
R1#
*Mar  1 00:58:44.667: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 30746 (30746)
R1#
*Mar  1 00:58:45.691: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 31002 (31002)
R1#
*Mar  1 00:58:46.715: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 31258 (31258)
R1#
*Mar  1 00:58:47.739: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 31514 (31514)

show ip nat statistics

R1#show ip nat statistics
Total active translations: 1 (1 static, 0 dynamic; 0 extended)
Outside interfaces:
  FastEthernet1/2
Inside interfaces:
  FastEthernet1/1
Hits: 20  Misses: 9
CEF Translated packets: 24, CEF Punted packets: 0
Expired translations: 9
Dynamic mappings:
Appl doors: 0
Normal doors: 0
Queued Packets: 0

show ip nat translations

R1#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 100.1.1.1          192.168.0.1        ---                ---

show run

R1#show run
Building configuration...

Current configuration : 1797 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip cef
!
!
!
!
no ip domain lookup
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
ip tcp synwait-time 5
!
!
!
!
!
interface FastEthernet0/0
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/0
 no ip address
 shutdown
 clock rate 2000000
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
interface Serial0/1
 no ip address
 shutdown
 clock rate 2000000
!
interface Serial0/2
 no ip address
 shutdown
 clock rate 2000000
!
interface FastEthernet1/0
!
interface FastEthernet1/1
 no switchport
 ip address 192.168.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet1/2
 no switchport
 ip address 100.1.1.1 255.255.255.0
 ip nat outside
 ip virtual-reassembly
!
interface FastEthernet1/3
!
interface FastEthernet1/4
!
interface FastEthernet1/5
!
interface FastEthernet1/6
!
interface FastEthernet1/7
!
interface FastEthernet1/8
!
interface FastEthernet1/9
!
interface FastEthernet1/10
!
interface FastEthernet1/11
!
interface FastEthernet1/12
!
interface FastEthernet1/13
!
interface FastEthernet1/14
!
interface FastEthernet1/15
!
interface Vlan1
 no ip address
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source static 192.168.0.1 100.1.1.1
!
no cdp log mismatch duplex
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line aux 0
 exec-timeout 0 0
 privilege level 15
 logging synchronous
line vty 0 4
 login
!
!
end

###疑問点
・debug ip natについて
①のログを見ると、PC-2→PC-1へのパケットの流れが確認できますが、PC-1→PC-2へのパケットログが表示されません。
②のログを見ると、戻りと行きのパケットの流れが確認できるので正常かなと思いましたが、NAT: expiringが表示されてしまいます。
上記2点の原因が分かりません。

・PC-1とPC-2の疎通について
現時点では疎通できませんが、NATが正常に設定されれば、PC-1からコマンドで「ping PC-2のIPアドレス」、また、その反対方向のpingが届く認識で合ってますでしょうか。

何かご存知の方いらっしゃいましたら、アドバイスいただけると助かります。
以上、ご確認お願いいたします。

###追記
各PCのゲートウェイの修正、R1のfa1/1のIPアドレスを192.168.0.2に修正後、PC-1→PC-2への疎通は確認できました。一方、PC-2→PC-1への疎通はtimeoutとなりました。

行動規範の内容に同意します

回答1件

ベストアンサー

・なぜ、PC-1→PC-2のPing疎通できないのか
PC-1のNAT後のアドレスが、R1 Fa1/2のアドレスと重複しているため、PC-2からの戻りのパケットがR1で破棄されているためと思われます。
想定される、動作は以下です。

①PC-1からPC-2へPingする。
┗Src：192.168.0.1　Dst：100.1.1.2
②R1はスタティックNATの設定（inside→outside）に基づき、PC-1のアドレスをソースNATして、PC-2にパケットを転送する。
┗Src：192.168.0.1→100.1.1.1　Dst：Dst：100.1.1.2
③Pingを受け取ったPC-2はソースアドレスに返答する。
┗Src：100.1.1.2　Dst：100.1.1.1
④R1は自身のI/F（Fa1/2）宛てのPingを受け取るので、それ以上の処理をせずに破棄（？）等している。
┗ここの動きは自信無いですけど、自分のI/F宛てのアドレスをNAT処理して転送するということは無いはず。現にログに「expiring（期限切れ）」みたいなのが出ている。

NATの検証をしたいのであれば、PC-1のNAT後のアドレスは重複しないものにすべきかと思います。
例えば100.1.1.3など。
ただ、これも相手のセグメントのアドレスにNATをする形なので、実務ではあまり無い構成例です。
実際にNATの使い処としては、以下のものです。

つづく

投稿2018/01/31 03:18

編集2018/01/31 03:19

taichi_0807

総合スコア252

taichi_0807

2018/01/31 03:18

A社とB社をVPN接続する案件があったとします。・A社のNWセグメント　①192.168.0.0/24 　②1.1.1.0/24 ・B社　①100.1.1.0/24 　②192.168.0.0/24 A社とB社どちらにも192.168.0.0/24があり、このままだと通信できません。（A社とB社を接続するルータが192.168.0.0/24をどちらに転送していいか判断できなくなるため。）その際に、NATを用いて、A社の192.168.0.0/24を192.168.1.0/24に変換してB社に見せることにより、 B社にとってのA社のNWセグメントは以下の様になります。　①192.168.1.0/24 　②1.1.1.0/24 一方、A社はこれまで通り、192.168.0.0/24を社内で使えるようになるわけです。　⇒なぜなら、B社とやりとりをするルータのI/F（inside、outside）を経由するときだけNATされるからです。ややこしいですが、NATの使い処でした。

narururu

2018/01/31 10:16

ご回答ありがとうございます。taichiさん☺ 用事があって、お返事遅れました。 NATの使い方、なるほどです！書籍やネットの解説だと、インターネットへ向けてデータを送るためにプライベートアドレスをグローバルアドレスに変換する目的については記載されていますが、双方の会社で同じセグメントのプライベートアドレスが重複した際の対応策としても使う方法があるなんて、taichiさんから聞いて初めて知りました！いつもお忙しい中、ご丁寧に解説して下さり、ありがとうございます。この後、PC-1のNAT後のIPアドレスを変更して試してみます！

narururu

2018/01/31 12:02

taichiさん、すいません。先程、取り急ぎご連絡したく、わかったようなことを言いましたが、正確に今回の原因が理解できません。 PC-1のNAT後のアドレスは現在100.1.1.1です。これを100.1.1.3に変更しても同セグメントのアドレスなので特に変化はないと思います。NAT前後でセグメントは違うので重複していないと思うのですが、どこが重複しているのでしょうか。お手数おかけ申し訳ございませんが、ご回答よろしくお願いいたします。

taichi_0807

2018/01/31 12:21

因みに、質問に答えるにあたり重要な確認箇所がありました。 Configでは、 interface FastEthernet1/1 ip address 192.168.0.1 255.255.255 となっておりますが、NW図では192.168.0.2となっています。これはConfigの間違い？そして、やりたいことはPC-1のアドレス（192.168.0.2？）を（100.1.1.1）にNAT変換したいで良いですよね？

narururu

2018/01/31 12:26

大変申し訳ございません(>_<) configの間違いです。NW図が正しく、fa1/1には192.168.0.2 を想定して書いてました。やりたいことは、仰る通りです。

taichi_0807

2018/01/31 13:11

>> ・疎通不可 >> PC-1←→PC-2 これは、PC-1のIPアドレスがR1 Fa1/1と重複して正しく設定できていなかったからかもしれません。 Fa1/1のアドレスを192.168.0.2に修正すれば、とりあえずPing自体は通ると思います。 >>PC-1のNAT後のアドレスは現在100.1.1.1です。はい。 >>これを100.1.1.3に変更しても同セグメントのアドレスなので特に変化はないと思います。 >> NAT前後でセグメントは違うので重複していないと思うのですが、どこが重複しているのでしょうか。あ、すいません。もしかして、1対多のNATを想定していましたか？ 192.168.0.0/24のアドレスは全て100.1.1.1に変換されて通信するCiscoでいうPATの動作のことです。だとしたら、NATの設定方法が違いますのでこちらをご参照ください。 http://www.infraexpert.com/study/natz2.html NATは使い方がいくつもあってややこしいですね。 NATの種類はこちらをご覧ください。 http://www.infraexpert.com/study/study34.html 私は1対1のスタティックNATをイメージしていたので、おかしいよと指摘しました。

narururu

2018/01/31 13:42

ご回答ありがとうございます。 PC間の疎通ですが、int fa1/1のIPアドレスを192.168.0.2に変更した後でも通らなかったのですが、PCのゲートウェイのIPアドレスをPC-1では192.168.0.2に、PC-2では100.1.1.2にしたところ、PC-1→PC-2へはping通るようになりました。しかし、PC-2→PC-1へはtimeoutになってしまいます。 NATはスタティックを想定してます。NW図の書き方に問題があったかもしれません。今回のケースですとPC-1に192.168.0.1がR1のfa1/1に192.168.0.2、fa1/2に100.1.1.1、PC-2に100.1.1.2の設定をしております。NAT後のIPアドレスは100.1.1.1のことを指していると認識しております。こちらを100.1.1.3に変更しても実質変わらないと思いました。こんなに丁寧に教えて下さっているのに私の理解力が足らず、お手数をおかけしすいません。今の私にはちょっと厳しい内容だったかもしれません。私の考えていることが伝わらないようでしたら、私の認識に間違いがあると思いますので一旦保留にさせてください。 taichiさんも明日お仕事あるでしょうから、ご迷惑をおかけしたくないです。

taichi_0807

2018/02/03 06:16

すいません。私もこのケースのNATをあまりやったことがなかったので、ちゃんと説明できていませんでした。以下の環境を再現したところ、正常にNAT処理ができました！ご自身の環境と見比べて、おかしなところはないですか？・PC-1 192.168.0.1 （GW：192.168.0.2）・PC-2 100.1.1.2 （GW：100.1.1.1）＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ Router#show run ! ～略～ ! interface FastEthernet0 ip address 192.168.0.2 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 ip address 100.1.1.1 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto ! ～略～ ! ip nat inside source static 192.168.0.1 100.1.1.1 ! ～略～ end Router# Router#show ip nat tran Pro Inside global Inside local Outside local Outside global icmp 100.1.1.1:1 192.168.0.1:1 100.1.1.2:1 100.1.1.2:1 udp 100.1.1.1:137 192.168.0.1:137 100.1.1.2:137 100.1.1.2:137 tcp 100.1.1.1:63593 192.168.0.1:63593 100.1.1.2:3389 100.1.1.2:3389 --- 100.1.1.1 192.168.0.1 --- --- Router#show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 100.1.1.1 - 001b.d4ac.68af ARPA FastEthernet1 Internet 100.1.1.2 0 b870.f424.11c2 ARPA FastEthernet1 Internet 192.168.0.1 3 7058.12dc.76bc ARPA FastEthernet0 Internet 192.168.0.2 - 001b.d4ac.68ae ARPA FastEthernet0 ＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ PC-2のログイーサネットアダプターローカルエリア接続: 接続固有の DNS サフィックス . . . : home IPv4 アドレス . . . . . . . . . . : 100.1.1.2 サブネットマスク . . . . . . . . : 255.255.255.0 デフォルトゲートウェイ . . . . . : 100.1.1.1 ①trace ⇒NAT前後のアドレス両方で成功 C:\Users\Taichi>tracert 192.168.0.1 192.168.0.1 へのルートをトレースしています。経由するホップ数は最大 30 です 1 1 ms <1 ms <1 ms PANA [100.1.1.1] 2 1 ms 1 ms <1 ms PANA [100.1.1.1] トレースを完了しました。 C:\Users\Taichi>tracert 100.1.1.1 PANA [100.1.1.1] へのルートをトレースしています経由するホップ数は最大 30 です: 1 <1 ms 1 ms <1 ms PANA [100.1.1.1] 2 1 ms 1 ms 1 ms PANA [100.1.1.1] トレースを完了しました。 ②Ping ⇒traceと同様にNAT前後のアドレス両方で成功 C:\Users\Taichi>ping 100.1.1.1 100.1.1.1 に ping を送信しています 32 バイトのデータ: 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 の ping 統計: パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、ラウンドトリップの概算時間 (ミリ秒): 最小 = 1ms、最大 = 1ms、平均 = 1ms C:\Users\Taichi>ping 192.168.0.1 192.168.0.1 に ping を送信しています 32 バイトのデータ: 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 100.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=127 ■arp ⇒100.1.1.1 はCiscoのFa1のアドレスを学習インターフェイス: 100.1.1.2 --- 0xb インターネットアドレス物理アドレス種類 100.1.1.1 00-1b-d4-ac-68-af 動的 100.1.1.255 ff-ff-ff-ff-ff-ff 静的＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

narururu

2018/02/03 07:18

ご回答ありがとうございます。ご提示いただきました設定で私の方でもPC-1→PC-2へ、PC-2→PC-1への疎通ができるようになりました！あれ、でも今回の原因は何だったんでしょう('_') PCのデフォルトゲートウェイの設定を前回何も考えずに第4オクテットを254に設定していたからかもしれないです。最初、PC-2→PC-1へがtimeoutになってしまいましたが、PC-2→R1、R1→PC-1へ通信を行った後、PC-2→PC-1への疎通が確認できるようになりました。一点だけ気になるのｑが、PC-2→PC-1への通信するときに最初の2回はtimeoutになりそのあとは通信ができます。また通信が完了した後に、 *Mar 1 00:36:24.659: NAT: expiring 100.1.1.1 (192.168.0.1) icmp 33119 (33119) が表示されていますが、あまり気にしなくていいように思ったので、問題解決できたかなと思っております。アドバイスありがとうございました☺

taichi_0807

2018/02/03 08:33

>> PCのデフォルトゲートウェイの設定を前回何も考えずに第4オクテットを254に設定していたからかもしれないです。 PCのデフォルトGWは別セグメントに通信するときのルータのIPアドレスにすべきなので、今回の構成だと254は適切ではないですね。 >>一点だけ気になるのｑが、PC-2→PC-1への通信するときに最初の2回はtimeoutになりそのあとは通信ができます。 GNS3だとPingとか最初数個は欠けるのはしょうがないようです。 arpとかの学習に時間が掛かるんですかね。

narururu

2018/02/03 09:17

ご回答ありがとうございます。私にはデフォルトゲートウェイ何気に理解するの難しいです('_') PC-1→PC-2の方向ではtimeoutされないのに、PC-2→PC-1の場合ですと必ず2回はtimeoutになってしまいモヤモヤ感が少し残りますが、GNS3の仕様ということでOKですね。 arpの学習に時間がかかる。。のかもしれませんね。他の構成でもいろいろ試していくうちに分かる日が来るかも。がんばります。

行動規範の内容に同意します