Попробовать

Не работает правило NAT

При создании нового правила NAT могут появиться проблемы с неработоспособностью. Например, не выходит подключиться по SSH, RDP, открыть веб-сервер в браузере по HTTP или получить доступ в интернет из VM.

Причина 1

Изначально у всех правил наивысший приоритет. Если существуют несколько аналогичных правил NAT, по умолчанию их приоритет одинаково максимальный и какие-то из них обрабатываться не будут. Трафик обрабатывается первым попавшимся правилом и на другие аналогичные правила не попадает.

Причина 2

(Для DNAT-правил) В списке есть «широкое» правило, для которого не указан порт и протокол для подключения, которые указываются в следующих полях DNAT-правила:

  • в NSX-T — Application;

  • В NSX-V — Translated Port и Protocol.

Для таких правил слушается любой (ANY) порт.

Если приоритет «широкого» правила не ниже, чем у других правил, трафик может обрабатываться им. При этом другие правила, в которых явно указаны протоколы и порты, применяться к трафику не будут.

Причина 3

Некорректно настроено правило NAT и/или соответствующее правило Firewall.

Решение
  1. Задайте в явном виде порт и протокол (SSH/HTTP/HTTPS и т. д.), в «широких» правилах в случаях, если это уместно. Это позволит Edge Gateway анализировать конкретный внешний порт.

  2. Скорректируйте приоритет правил. В частности рекомендуем понизить приоритет для «широких» правил, чтобы весь трафик по умолчанию не обрабатывался ими.

    Чтобы изменить приоритет правил в NSX-T:

    1. Откройте правило на редактирование.

    2. Раскройте Advanced Settings.

    3. Укажите число (0,1,2,3) в поле Priority. Чем больше число, тем ниже приоритет у правила.

      По умолчанию все правила создаются с наивысшим приоритетом 0 и являются равнозначными по отношению друг к другу. Чтобы понизить приоритет правила измените его приоритет на 1. Правило станет менее приоритетным по отношению к остальным.

  3. Убедитесь, что правила NAT и Firewall настроены корректно. Способ настройки зависит от типа NSX в вашем тенанте: