Enrutamiento de Cisco con múltiples IP públicas, OSPF y NAT no funcionan como se esperaba

tag-icon tag-icon routing cisco router
Enrutamiento de Cisco con múltiples IP públicas, OSPF y NAT no funcionan como se esperaba

Tenemos varios enrutadores en nuestra organización y no puedo hacer que el enrutamiento funcione como se esperaba.

  • Tenemos un número limitado de direcciones IP públicas a las que llamaré 100.xxx/28
  • Tenemos un espacio de direcciones interno 172.16.xx. Cada enrutador posee un bloque /24 para el enrutamiento interno.
  • Tenemos OSPF ejecutándose en el área 1 para todas las interfaces.

Disponemos de los siguientes enrutadores.

R1 - enrutador fronterizo con NAT - 172.16.1.0/24. Tiene una IP pública en 100.xx13 con una puerta de enlace predeterminada de 100.xx9 y enruta Internet al resto de la red. En este ejemplo, 100.xx13 es una dirección IP que controlo, mientras que 100.xx9 está fuera de la red y pertenece a nuestro ISP.

R2 - 172.16.2.0/24 R3 - enrutador concentrador 172.16.3.0/24. Este enrutador se conecta a R2, R4 y R5 R4 - 172.16.4.0/24 (int g1) se conecta a la VLAN interna (int g2) - 172.16.0.24.
R5 - 172.16.5.0/24. Este enrutador se conecta al R3. Nos gustaría conectar una VPN a este enrutador a Azure. Detrás de esta VPN hay una red adicional con múltiples VM. Para ello necesitamos utilizar una de nuestras IP públicas. Por lo tanto asignamos 100.xx14 a la interfaz exterior (int g 2). Tiene una puerta de enlace de 100.xx9 al igual que la dirección IP en R5. Sin embargo, no queremos que esta interfaz R5 2 se utilice para el tráfico general de Internet. se supone que solo debe usarse para tráfico VPN.

El problema es este.

Si R5 int g2 está en estado apagado, NAT funciona correctamente en toda la red. Específicamente, las computadoras en la red 172.16.0.0/24 que usan R4 como puerta de enlace pueden navegar por Internet a través de R4, R3, R2 y R1 (que es el enrutador fronterizo).

Sin embargo, cuando activo R5 int g2 (es decir, la interfaz que tiene una IP pública), pero que no uso como puerta de enlace predeterminada, encuentro que el tráfico de Internet en la red interna 172.16.0.0/24 se detiene. . Cuando ejecuto un traceroute, encuentro que el tráfico intenta salir a través de R4, R3, R5.

Entonces la pregunta es: ¿puedo forzar el tráfico a través del enrutador R1/Nat en lugar de R5?

gracias

información relacionada