ダイナミックNATの設定が上手くいかない

前提・実現したいこと

#####ダイナミックNATを設定したPC間のpingがうまくいかない

ラボ・シナリオという学習サイトの課題を、Packet Tracerを使用しておこなっています。
下記URLの課題/解説を参考に、スタティックNATとダイナミックNATをルータに設定しているのですが、ダイナミックNATを設定したPC間/サーバ間のpingが通らず、どうしても原因を見つけることができません。

URL: http://jukenki.com/contents/cisco/ccna-lab-scenario/lab2-nat-static-and-dynamic.html

スイッチを使用して集線し、URL先の構成イメージに通りに構成しています。

現状
【Ping成功】
WEB-Serverー>FTP-server ,PC-C ※スタティックNAT
Mail-Serverー>FTP-server ,PC-C ※スタティックNAT
FTP-server, PC-Cー>WEB-Server ※スタティックNAT
FTP-server, PC-Cー>Mail-Server ※スタティックNAT
PC-Aー>FTP-server ,PC-C ※ダイナミックNAT
PC-Bー>FTP-server ,PC-C ※ダイナミックNAT

【Ping通らない】
FTP-server ,PC-C ー>PC-A ※ダイナミックNAT
FTP-server ,PC-C ー>PC-B ※ダイナミックNAT

#####※動作環境
Mac ver.11.5.2
PacketTracer ver.8.0.1

発生している問題・エラーメッセージ

######①まず、問題が起こっていないPC-A,PC-B側からpingをおくり、RT-A#show ip nat translations コマンドでテーブルを確認しました。NAT変換は問題なく行われているように見えます。

RT-A#sh ip nat translations
Pro  Inside global     Inside local       Outside local      Outside global
icmp 200.10.10.11:17   192.168.1.129:17   161.14.1.128:17    161.14.1.128:17
icmp 200.10.10.11:18   192.168.1.129:18   161.14.1.128:18    161.14.1.128:18
icmp 200.10.10.11:19   192.168.1.129:19   161.14.1.128:19    161.14.1.128:19
icmp 200.10.10.11:20   192.168.1.129:20   161.14.1.128:20    161.14.1.128:20
icmp 200.10.10.12:21   192.168.1.128:21   161.14.1.10:21     161.14.1.10:21
icmp 200.10.10.12:22   192.168.1.128:22   161.14.1.10:22     161.14.1.10:22
icmp 200.10.10.12:23   192.168.1.128:23   161.14.1.10:23     161.14.1.10:23
icmp 200.10.10.12:24   192.168.1.128:24   161.14.1.10:24     161.14.1.10:24
---  200.10.10.10      192.168.1.11       ---                ---
---  200.10.10.9       192.168.1.10       ---                ---

#####②ですが、PC-Cからのpingは、通りません。

C:\>ping 200.10.10.11

Pinging 200.10.10.11 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 200.10.10.11:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

#####③RT-Aのdebugは、このように表示されます。

NAT: expiring 200.10.10.12 (192.168.1.129) icmp 21 (21)

NAT: expiring 200.10.10.12 (192.168.1.129) icmp 22 (22)

NAT: expiring 200.10.10.12 (192.168.1.129) icmp 23 (23)

NAT: expiring 200.10.10.12 (192.168.1.129) icmp 24 (24)

pingを送った先は200.10.10.11なのに、expiring 200.10.10.12というエラーメッセージが表示されている点も、なぜそうなっているのか謎でした。

補足情報（FW/ツールのバージョンなど）

#####【RT-Aのshow run】

RT-A#show run
Building configuration...

Current configuration : 974 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname RT-A
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
license udi pid CISCO2811/K9 sn FTX1017W3S9-
!
!
!
!
!
!
!
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat pool INET 200.10.10.11 200.10.10.13 netmask 255.255.255.248
ip nat inside source list 1 pool INET
ip nat inside source static 192.168.1.10 200.10.10.9 
ip nat inside source static 192.168.1.11 200.10.10.10 
ip classless
ip route 0.0.0.0 0.0.0.0 10.10.10.2 
!
ip flow-export version 9
!
!
access-list 1 permit 192.168.1.128 0.0.0.127
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

#####【FTP-ServerのIP設定】

#####【PC-CのIP設定】

#####追記【RT-Bのshow run】


RT-B#show run
Building configuration...

Current configuration : 642 bytes
!
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname RT-B
!
!
!
!
!
!
!
!
ip cef
no ipv6 cef
!
!
!
!
!
!
!
!
!
!
no ip domain-lookup
!
!
spanning-tree mode pvst
!
!
!
!
!
!
interface FastEthernet0/0
 ip address 10.10.10.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 161.14.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip classless
ip route 200.10.10.8 255.255.255.248 10.10.10.1
!
ip flow-export version 9
!
!
!
!
!
!
!
line con 0
!
line aux 0
!
line vty 0 4
 login
!
!
!
end

####---------追記2021/09/10---------------
###【PC-AからPC-Cのログ】

（ダイナミックNATによりPC-AのIPアドレスが200.10.10.11～200.10.10.13のアドレスから自動選出され内部グローバルアドレスに変換されているため、PC-AのIP<192.168.1.128/24>が毎度<200.10.10.11/24>に変換されるわけでは無いのですが、）
下記2行目のようなログが出ている場合でも、PC-CからPC-Aのpingは通りません。

Router#show ip nat t
Pro  Inside global     Inside local       Outside local      Outside global
icmp 200.10.10.11:13   192.168.1.128:13   161.14.1.10:13     161.14.1.10:13
icmp 200.10.10.11:14   192.168.1.128:14   161.14.1.10:14     161.14.1.10:14
icmp 200.10.10.11:15   192.168.1.128:15   161.14.1.10:15     161.14.1.10:15
---  200.10.10.10      192.168.1.11       ---                ---
---  200.10.10.9       192.168.1.10       ---                ---

####↑のログが残っている間に、PC-CからPC-Aにtracertを行いました

C:\>tracert 200.10.10.11

Tracing route to 200.10.10.11 over a maximum of 30 hops: 

  1   0 ms      0 ms      0 ms      161.14.1.2
  2   0 ms      0 ms      0 ms      10.10.10.1
  3   0 ms      0 ms      0 ms      161.14.1.2
  4   0 ms      0 ms      0 ms      10.10.10.1
  5   0 ms      0 ms      0 ms      161.14.1.2
  6   0 ms      0 ms      0 ms      10.10.10.1
  7   0 ms      0 ms      0 ms      161.14.1.2
  8   0 ms      0 ms      0 ms      10.10.10.1
  9   0 ms      0 ms      0 ms      161.14.1.2
...

上記のように、ピンポン状態？がTrace complete(30)まで続いていました..

よろしくおねがいします。

yukky1201

2021/09/09 01:41

Router-Bのコンフィグも質問に追記してください

hedderjulie

2021/09/09 02:34

閲覧ありがとうございます。内容追記しました。よろしくお願いします。

行動規範の内容に同意します

回答2件

PC-AからPC-Cへ通信したときに、参考されたサイトにも記載あるような下記のNATエントリはできますか？

--- 200.10.10.11 192.168.1.128 ---

このエントリがあるときのみ、PC-CからPC-Aの通信が成功します。

PC-C(を含む161.14.1.*)側から発信された通信では現状設定ではNAT機能は発動しません。（参考サイトの記載のとおり）

投稿2021/09/09 14:15

yukky1201

総合スコア2751

hedderjulie

2021/09/10 08:41

レスポンスが遅くなってしまい申し訳ないです。ご質問頂いたようなエントリは確認できます。エントリが残っている間(タイムアウトで消去される前)にPC-CからPC-Aにpingを打ってみましたが疎通できません。tracertを打つと、通信がぐるぐるとルーター内を回っているのを確認できました。質問の下部にログを追記しましたので、ご確認いただけると嬉しいです。（現状では、NAT変換が60秒程度でタイムアウトしてエントリが消えてしまうため、設定時間を長くしてみようとしましたが、タイムアウト設定の確認・変更を行うコマンドはPacket Tracerではサポートされていないようで変更不可でした。）

行動規範の内容に同意します

yukky1201さんの回答の通り、
--- 200.10.10.11 192.168.1.128 ---
自体が無いといけないと思います。
※追記2021/09/10 の show ip nat tの結果には表示が無いようなので。（コピペ時に欠けただけでしょうか？）

ルータは別（1812J　IOS 12.4(6)T6）でPCも少ない（PC-Cの代わりにルータBからping実施）ですが、同様の設定を入れて、以下の結果（参考サイトの想定の通り）でした。
・ルータB(161.14.1.2)からPC-B(200.10.10.11)へping　NG
・PC-B(192.168.1.129)からルータBへpingした後、ルータBからPC-B(200.10.10.11)へping OK

Ping OK時のルータAのshow ip nat translationsの結果は以下でした。最終行のエントリーが大事です。

# show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 200.10.10.9        192.168.1.10       ---                ---
--- 200.10.10.10       192.168.1.11       ---                ---
icmp 200.10.10.11:1    192.168.1.129:1    161.14.1.2:1       161.14.1.2:1
icmp 200.10.10.11:7091 192.168.1.129:7091 161.14.1.2:7091    161.14.1.2:7091
icmp 200.10.10.11:7092 192.168.1.129:7092 161.14.1.2:7092    161.14.1.2:7092
icmp 200.10.10.11:7093 192.168.1.129:7093 161.14.1.2:7093    161.14.1.2:7093
icmp 200.10.10.11:7094 192.168.1.129:7094 161.14.1.2:7094    161.14.1.2:7094
--- 200.10.10.11       192.168.1.129      ---                ---

また、考慮済みかもしれませんが、PC-AがWindowsのPCであれば、Windowsファイアウォールで止まっている可能性もあるのでオフにしてどうかも試していただけるとよいかと思います。

投稿2021/09/19 01:37