<div dir="ltr">You may try to check "end-point independent" command under nat policy ... enhanced. Maybe it is what you're looking for:<div><br></div><div><div>[local]SE1200(config-policy-nat)#?</div><div>  abort                 Abort this configuration - backout from running config</div><div>  access-group          Define access-group to classify dynamic NAT</div><div>  admission-control     Configure connection admission control</div><div>  commit                Commit configuration transactions to running config</div><div>  connections           Define connection admission control parameters</div><div>  destination           Configure to overwrite destination IP address</div><div>  drop                  Configure to drop not classified traffic</div><div>  endpoint-independent  Set endpoint-indepenent traffic mode    <<<<<<<<<<<<<<<<<<<<</div></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Oct 27, 2015 at 2:47 AM, Wojciech Wrona <span dir="ltr"><<a href="mailto:w0jtas@w0jtas.com" target="_blank">w0jtas@w0jtas.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  <div bgcolor="#FFFFFF" text="#000000">

    UPDATE: This was only half success. Broadcom based routers on more

    heavy load will open more than one TCP connection from the same

    source port. This will be dropped by Redback NAT implementation. For

    now i have do idea how to deal with it :(<br>

    <br>

    Best regards,<span class="HOEnZb"><font color="#888888"><br>

    <pre cols="72">-- 

w0jtas

</pre>

    <div>W dniu 26.10.2015 o 18:38, Wojciech

      Wrona pisze:<br>

    </div></font></span><div><div class="h5">

    <blockquote type="cite">

      Hi again. <br>

      <br>

      It seems like i've solved the problem, so i'm posting it here for

      future use. Routers like Pentagram, Netgear and some other clones

      (mailnly based on broadcom router on the chip chipset) are using

      strange but the most efficient NAT immplementation. <br>

      <br>

      If your subscribers are using theese routers as CPE, and you're

      NATing them and using not enhanced NAT on Your redback (becouse of

      lack of microblocks at the line cards as we are, or maybe becouse

      of lack of license but its less possible i think), you will have

      experience the same problem. <br>

      <br>

      On every "normall" (Linux based) NAT implementation source ports

      for outgoing connections are used in always growing manner.

      Starting from port 1025 up to 65536 and then again from 1025 ....

      Broadcom want to be super efficient (dont know why - its only home

      class router), and it is doing it in a different way. Couple

      seconds after closing TCP connection, its source port can be

      reused again for another one, it is not waiting with reuse for

      hitting the 65536 limit. I don't know what is the time limit (if

      there is any) for the reuse, but in my tests i didnt see any port

      reuse in time shorter than 10-12 seconds. <br>

      <br>

      The problem is that Redback has default timeout for FIN-RESET set

      to 240 seconds. During this time this connection is considered

      still open, so any other SYN packet sent from the same source port

      is considered TCP P2MP connection attempt. Which (as u probably

      know) is prohibited in not enhanced nat.<br>

      <br>

      Therefore the only solution for those routers is to set Redback

      FIN-RESET timeout to its minimal value (4 seconds) in nat policy.

      I'm not sure if it solved the problem in 100% (still i can imagine

      port reuse in 2 or 3 seconds after TCP connection close), but in

      my user experience tests (10 firefox tabs constantly loading, and

      refreshing pages) everything worked well. IMO its more than enough

      :)<br>

      <br>

      <tt> nat policy publicNatPolicy</tt><tt><br>

      </tt><tt>! Default class</tt><tt><br>

      </tt><tt>  drop</tt><tt><br>

      </tt><tt>  icmp-notification</tt><tt><br>

      </tt><tt>! Named classes</tt><tt><br>

      </tt><tt>  access-group publicNatAccess</tt><tt><br>

      </tt><tt>   class NAT</tt><tt><br>

      </tt><tt>    pool publicNatIP userAccess</tt><tt><br>

      </tt><tt>    timeout tcp 7200</tt><tt><br>

      </tt><tt>    timeout udp 120</tt><tt><br>

      </tt><tt>    timeout fin-reset 4</tt><tt><br>

      </tt><tt>    endpoint-independent filtering udp</tt><tt><br>

      </tt><tt>    inbound-refresh udp</tt><tt><br>

      </tt><tt>    icmp-notification</tt><tt><br>

      </tt><tt>   class IGNORE</tt><tt><br>

      </tt><tt>    ignore</tt><tt><br>

      </tt><tt>    inbound-refresh udp</tt><tt><br>

      </tt><tt>    icmp-notification</tt><tt><br>

      </tt><br>

      Best regards,<br>

      <br>

      <pre cols="72">-- 

w0jtas

</pre>

      <div>W dniu 23.10.2015 o 14:48, Wojciech

        Wrona pisze:<br>

      </div>

      <blockquote type="cite">

        <div style="font-family:-moz-fixed;font-size:12px" lang="x-unicode">

          <pre>Hi guys,

I'm struggling for some days with strange issue on Redback. I have

services configured as CLIPS based on DHCP/Radius auth. Everything works

fine besides NAT. When the connecting host is normal single PC (as a

subscriber) it looks ok, but when i connect a router (some Pentagram

P6362 - becouse those were tested) and that single PC is connected after

this router, here comes the situation where double NAT is going on. It

should work fine, when IP addressed in both network are not overlaping,

and i'm sure that they're not. But when pentagram is connected there is

a trouble with opening more than few TCP connections. After opening few

of them (rather random but small value) another SYN packets are lost

(sent to redback, but no answer is received). It happens only when using

a harware home router (like pentagram or something else), but when i

connect in this place another PC with 2 network interfaces and Linux on

board which is doing as second NAT box, the problem is not seen.

What could cause this ? I have no idea where to start.

My tests i'm doing at biuroInside interface

<b>My config below:</b>

context userAccess

!

 no ip domain-lookup

 nat fragments

!

!

 ip nat pool publicNatIP napt multibind

  address <a href="http://188.122.20.96/32" target="_blank">188.122.20.96/32</a>

   exclude well-known

!

 nat policy publicNatPolicy

! Default class

  drop

  icmp-notification

! Named classes

  access-group publicNatAccess

   class NAT

    pool publicNatIP userAccess

    timeout tcp 7200

    timeout udp 60

    endpoint-independent filtering udp

    inbound-refresh udp

    icmp-notification

   class IGNORE

    ignore

    inbound-refresh udp

    icmp-notification

!

 interface biuroInside multibind

  ip address <a href="http://192.168.129.254/24" target="_blank">192.168.129.254/24</a>

  dhcp server interface

  ip access-group vlan2000Security out

!

 interface radiusIf

  ip address <a href="http://10.0.0.2/30" target="_blank">10.0.0.2/30</a>

   ip source-address radius

!

 interface tichyWiFi multibind

  ip address <a href="http://192.168.128.1/26" target="_blank">192.168.128.1/26</a>

  dhcp server interface

  ip arp secured-arp

 no logging console

!

 ip access-list adminAccess

  seq 10 permit udp any any eq rip

  seq 20 permit tcp any any eq bgp

  seq 30 permit icmp any

  seq 40 permit udp any any eq bootps

  seq 50 permit udp any eq 1812 any

  seq 60 permit tcp any any established

!

 ip access-list vlan2000Security

  seq 10 permit ip 188.122.17.32 0.0.0.31 any

  seq 20 deny tcp any any eq 135

  seq 30 deny tcp any any eq 139

  seq 40 deny tcp any any eq 445

  seq 50 deny tcp any any eq www

  seq 60 deny tcp any any eq 8080

  seq 70 deny tcp any any eq 443

  seq 80 deny tcp any any eq lpd

  seq 90 deny tcp any any eq 631

  seq 100 deny tcp any any eq 9100

  seq 110 permit ip any any

!

 policy access-list publicNatAccess

  seq 10 permit ip 192.168.0.0 0.0.63.255 host 188.122.20.1 class IGNORE

  seq 20 permit ip 192.168.0.0 0.0.63.255 host 188.122.20.3 class IGNORE

  seq 30 permit ip 192.168.129.0 0.0.0.255 192.168.191.0 0.0.0.255 class

IGNORE

  seq 40 permit ip 192.168.129.0 0.0.0.255 192.168.192.0 0.0.31.255

class IGNORE

  seq 50 permit ip 192.168.129.0 0.0.0.255 188.122.17.32 0.0.0.31 class

IGNORE

  seq 60 permit ip 192.168.129.0 0.0.0.255 host 188.122.20.36 class IGNORE

  seq 70 permit ip 192.168.129.0 0.0.0.255 host 188.122.20.1 class IGNORE

  seq 80 permit ip 192.168.129.0 0.0.0.255 host 188.122.20.12 class IGNORE

  seq 90 permit ip 192.168.129.0 0.0.0.255 host 192.168.129.254 class IGNORE

  seq 100 permit ip 192.168.129.0 0.0.0.255 host 188.122.18.122 class IGNORE

  seq 110 permit ip 192.168.0.0 0.0.255.255 class NAT

!

 aaa authentication administrator local 

 aaa authentication administrator maximum sessions 1

 aaa authentication subscriber radius 

 ip pool options use-class-c-bcast-addrs

!

 radius server 10.0.0.1 encrypted-key <key_cut_off>

 radius attribute nas-port-id format physical

!

 subscriber default

   ip source-validation

   nat policy-name publicNatPolicy

!

 ip route <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> context local

 service ftp client

 service ssh client

 service telnet client

!

 admin-access-group adminAccess in

!

 dhcp server policy

   nak-on-subnet-deletion

   option domain-name-server 188.122.20.9 8.8.8.8

   option domain-name <a href="http://finemedia.pl" target="_blank">finemedia.pl</a>

   option ntp-server 188.122.20.1

   option tftp-server-name <a href="http://finemedia.pl" target="_blank">finemedia.pl</a>

   default-lease-time 3600

   subnet <a href="http://192.168.128.0/26" target="_blank">192.168.128.0/26</a> name tichyWiFi

     range 192.168.128.2 192.168.128.62

     option router 192.168.128.1

   subnet <a href="http://192.168.129.0/24" target="_blank">192.168.129.0/24</a> name biuroInside

     range 192.168.129.50 192.168.129.253

     option router 192.168.129.254

!

!

!

end

<b>

My clips config goes like this:</b>

dot1q profile dot1qCLIPS

  radius attribute nas-port-type 15

port ethernet 1/4

 description SE600Downlink_10G

 no shutdown

 encapsulation dot1q

 dot1q pvc 2000 profile dot1qCLIPS

  service clips dhcp context userAccess

Best regards,

<div>-- 

w0jtas

</div></pre>

        </div>

        <br>

        <fieldset></fieldset>

        <br>

        <pre>_______________________________________________

redback-nsp mailing list

<a href="mailto:redback-nsp@puck.nether.net" target="_blank">redback-nsp@puck.nether.net</a>

<a href="https://puck.nether.net/mailman/listinfo/redback-nsp" target="_blank">https://puck.nether.net/mailman/listinfo/redback-nsp</a>

</pre>

      </blockquote>

      <br>

      <br>

      <fieldset></fieldset>

      <br>

      <pre>_______________________________________________

redback-nsp mailing list

<a href="mailto:redback-nsp@puck.nether.net" target="_blank">redback-nsp@puck.nether.net</a>

<a href="https://puck.nether.net/mailman/listinfo/redback-nsp" target="_blank">https://puck.nether.net/mailman/listinfo/redback-nsp</a>

</pre>

    </blockquote>

    <br>

  </div></div></div>

<br>_______________________________________________<br>

redback-nsp mailing list<br>

<a href="mailto:redback-nsp@puck.nether.net">redback-nsp@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/redback-nsp" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/redback-nsp</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div dir="ltr">Best regards,<br>Yury.</div></div>

</div></div>