Home › Troubleshooting Challenge › Lab 3 — NAT/PAT

🔧 Lab Troubleshooting — NAT/PAT

Rete aziendale con problemi di accesso a Internet. Il NAT non traduce gli indirizzi. Usa show ip nat per diagnosticare, poi correggi con conf t.

HARD 3 errori nascosti NAT · PAT · ACL M7 — Preparazione Esame

📐 Topologia Scenario — Rete TechOffice

Difficoltà: HARD · 3 errori nascosti · Esplora con show, poi correggi con conf t

R1-GW · Router Gateway
Gi0/0: 192.168.1.1/24 (LAN — inside)
Gi0/1: 203.0.113.2/30 (WAN — outside)
NAT overload su Gi0/1
Default route → 203.0.113.1

ISP / Internet
203.0.113.1/30 (default GW di R1)
DNS pubblico: 8.8.8.8
Non configurabile in questo lab

🎯 Obiettivi — trova e correggi i 3 problemi

I sintomi sono descritti come li vedresti in una rete reale. Sta a te trovare la causa.

⭕

1. Gli host interni non raggiungono Internet — nessuna traduzione NAT attiva

Il ping verso 8.8.8.8 fallisce. La routing table è corretta e il link WAN è up. Il problema è nel NAT.

⭕

2. La ACL del NAT non matcha il traffico degli host interni

La configurazione NAT sembra presente ma le statistiche mostrano 0 traduzioni. Gli host non rientrano nella ACL.

⭕

3. Il NAT outside è applicato sull'interfaccia sbagliata

Anche dopo aver corretto i primi due problemi, le traduzioni non vengono effettuate correttamente. C'è un errore nella direzione NAT.

R1-GW#

💡 Suggerimento: inizia con show ip nat translations e show ip nat statistics. Poi show run | section nat e show run | section access-list.

💡 Soluzione — NAT/PAT

⚠️ Prima di leggere: hai usato show ip nat statistics? Guarda quante traduzioni attive ci sono e da dove manca il traffico.

BUG 1 Gi0/0 (LAN) — manca ip nat inside

🔍 Come identificarlo:

R1# show ip nat statistics
Total active translations: 0
Outside interfaces: GigabitEthernet0/1 (errato — vedi bug 3)
Inside interfaces:  (nessuna!)

R1# show run | section interface
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 (manca ip nat inside)
          

🔧 Fix:

R1# conf t
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat inside
          

Perché funziona: NAT ha bisogno di sapere quale interfaccia è "interna" (inside) e quale è "esterna" (outside). Senza ip nat inside sull'interfaccia LAN, il router non sa da dove proviene il traffico da tradurre — lo ignora completamente.

BUG 2 ACL 10 — wildcard mask errata, esclude la subnet 192.168.1.0/24

🔍 Come identificarlo:

R1# show run | section access-list
access-list 10 permit 192.168.1.0 0.0.0.0
← wildcard 0.0.0.0 = solo host 192.168.1.0 esatto (la rete, non gli host!)

R1# show ip access-lists
Standard IP access list 10
    10 permit 192.168.1.0, wildcard bits 0.0.0.0
    (0 matches) ← zero match = nessun host rientra
          

🔧 Fix:

R1# conf t
R1(config)# no access-list 10
R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
          

Perché funziona: wildcard 0.0.0.0 matcha solo quell'indirizzo IP esatto — in questo caso 192.168.1.0 che è l'indirizzo di rete, non un host. La wildcard corretta per includere tutti gli host di una /24 è 0.0.0.255.

BUG 3 Gi0/0 (LAN) ha ip nat outside — dovrebbe essere Gi0/1 (WAN)

🔍 Come identificarlo:

R1# show run | section interface
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat outside  ← sbagliato! LAN = inside
!
interface GigabitEthernet0/1
 ip address 203.0.113.2 255.255.255.252
 (manca ip nat outside)  ← WAN = outside
          

🔧 Fix:

R1# conf t
R1(config)# interface GigabitEthernet0/0
R1(config-if)# no ip nat outside
R1(config-if)# interface GigabitEthernet0/1
R1(config-if)# ip nat outside
          

Perché funziona: NAT outside deve essere sull'interfaccia che si affaccia verso Internet (WAN). Con outside sulla LAN il router tentava di fare NAT al contrario — traduceva il traffico in ingresso dalla LAN come se fosse traffico pubblico in entrata, con risultati imprevedibili.

🧠 Come ragionare su un problema NAT

Passo 1 — Verifica il routing
Prima di guardare NAT, controlla che il routing funzioni: show ip route — c'è la default route verso l'ISP? Se manca la route, NAT non serve a nulla.

Passo 2 — Conta le traduzioni
show ip nat statistics — quante traduzioni attive? Zero = NAT non funziona. Guarda anche quali interfacce sono marcate inside/outside.

Passo 3 — Controlla la configurazione NAT
show run | section nat — la ACL è corretta? Il comando ip nat inside source list punta alla ACL giusta?

Passo 4 — Controlla la ACL
show ip access-lists — guarda i contatori match. Zero match = gli host non rientrano nella ACL. Controlla la wildcard mask.

Passo 5 — Verifica inside/outside
show run | section interface — ogni interfaccia ha il tag corretto? LAN = inside, WAN = outside. Un errore qui inverte la logica NAT.

📋 Concetti chiave — NAT/PAT

Inside vs Outside

Inside = rete privata interna
Outside = rete pubblica (Internet)
LAN → ip nat inside
WAN → ip nat outside
Entrambi obbligatori per NAT

NAT vs PAT

NAT statico: 1 IP privato → 1 IP pubblico
NAT dinamico: pool di IP pubblici
PAT (overload): N IP privati → 1 IP pubblico con porte diverse
PAT è il più usato nelle aziende

4 terminologie NAT

Inside local: IP privato host (192.168.1.x)
Inside global: IP pubblico tradotto (203.x)
Outside local: IP dest visto dall'inside
Outside global: IP dest reale (8.8.8.8)

Wildcard mask nella ACL NAT

La ACL NAT usa wildcard identiche a OSPF:
/24 → 0.0.0.255
/16 → 0.0.255.255
host esatto → 0.0.0.0
any → 255.255.255.255

🔍 Teoria — Bug 1: ip nat inside mancante

Come funziona il processo NAT
Quando un pacchetto arriva su un'interfaccia marcata ip nat inside, IOS sa che deve controllare se l'indirizzo sorgente corrisponde alla ACL NAT. Se corrisponde, traduce l'IP privato in pubblico. Senza il tag inside, IOS non sa che quel traffico va tradotto — lo forwardizza normalmente con l'IP privato sorgente, che Internet scarta perché non è instradabile pubblicamente.

🔍 Teoria — Bug 2: wildcard 0.0.0.0 nella ACL

Il significato di wildcard 0.0.0.0
Una wildcard di tutti zeri significa "tutti i bit devono corrispondere esattamente" — è equivalente a specificare un singolo host. Quindi permit 192.168.1.0 0.0.0.0 permette solo il pacchetto con IP sorgente esattamente 192.168.1.0, che è l'indirizzo di rete — nessun host reale ha quell'indirizzo. Risultato: zero match, zero traduzioni.

Importante: i contatori match in show ip access-lists sono il modo più rapido per scoprire questo problema — se sono a zero dopo che gli host hanno provato a navigare, la wildcard è sicuramente sbagliata.

🔍 Teoria — Bug 3: outside sull'interfaccia sbagliata

Cosa succede con inside/outside invertiti
IOS usa i tag inside/outside per determinare la direzione della traduzione. Con outside sulla LAN e nessun tag sulla WAN, il router non ha un'interfaccia outside verso cui instradare il traffico tradotto. Le traduzioni vengono create nella tabella NAT ma i pacchetti non escono correttamente verso Internet. Il sintomo tipico è: show ip nat translations mostra entry ma il ping continua a fallire.

            Corretto: Gi0/0 (LAN) → inside | Gi0/1 (WAN) → outside

            Sbagliato: Gi0/0 (LAN) → outside | Gi0/1 (WAN) → (nessun tag)

show ip nat translations     ← tabella traduzioni attive
show ip nat statistics        ← inside/outside, contatori
show run | section nat        ← ip nat inside source list
show ip access-lists          ← match counter = 0? wildcard errata
show run | section interface  ← inside/outside su ogni interfaccia
show ip route                 ← default route verso ISP presente?
        

🇬🇧 English version — Cisco official terminology for CCNA exam preparation.

BUG 1 Gi0/0 (LAN) — missing ip nat inside

🔍 How to identify:

R1# show ip nat statistics
Total active translations: 0
Inside interfaces:  (none!)
Outside interfaces: GigabitEthernet0/0 (wrong — see bug 3)
          

🔧 Fix:

R1# configure terminal
R1(config)# interface GigabitEthernet0/0
R1(config-if)# ip nat inside
          

Why this works: NAT requires both an inside and an outside interface to function. Without ip nat inside on the LAN interface, the router does not know which traffic needs to be translated — it forwards packets with the private source IP, which is dropped by Internet routers.

📋 Key concept — NAT inside/outside
• Inside interface: faces the private network (LAN) → ip nat inside
• Outside interface: faces the public network (WAN/Internet) → ip nat outside
• Both are mandatory — NAT will not work without both configured
• Verify with: show ip nat statistics

BUG 2 ACL 10 — wrong wildcard mask, no hosts matched

🔍 How to identify:

R1# show ip access-lists
Standard IP access list 10
    10 permit 192.168.1.0, wildcard bits 0.0.0.0
    (0 matches)  ← zero matches = no host qualifies
          

🔧 Fix:

R1# configure terminal
R1(config)# no access-list 10
R1(config)# access-list 10 permit 192.168.1.0 0.0.0.255
          

Why this works: Wildcard mask 0.0.0.0 means "match this exact IP address only" — equivalent to a host statement. It matched only 192.168.1.0 (the network address, not a real host). The correct wildcard for /24 is 0.0.0.255, which matches all 254 usable hosts.

📋 Key concept — NAT ACL wildcard
The NAT ACL defines which source IPs are eligible for translation:
• 0.0.0.255 = entire /24 subnet ✅
• 0.0.0.0 = exact host match only ❌ (common mistake)
• Match counter = 0 in show ip access-lists → wrong wildcard

BUG 3 Gi0/0 (LAN) has ip nat outside — should be on Gi0/1 (WAN)

🔍 How to identify:

R1# show run | section interface
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat outside   ← wrong! LAN should be inside
!
interface GigabitEthernet0/1
 ip address 203.0.113.2 255.255.255.252
 (no nat config)  ← WAN missing ip nat outside
          

🔧 Fix:

R1# configure terminal
R1(config)# interface GigabitEthernet0/0
R1(config-if)# no ip nat outside
R1(config-if)# interface GigabitEthernet0/1
R1(config-if)# ip nat outside
          

Why this works: The outside tag must be on the interface facing the public Internet (WAN). With outside on the LAN, the router attempted reverse NAT translation on incoming LAN traffic, causing translation failures even if entries appeared in the NAT table.

🎯

Exam Practice — NAT/PAT Troubleshooting

3 questions · CCNA 200-301 style · answer before checking

0/3

Q1. A network administrator runs show ip nat statistics and sees "Inside interfaces: none". What is the most likely cause?

A) The NAT ACL is missing from the configuration

B) No interface has been configured with the ip nat inside command

C) The ip nat inside source list command is pointing to the wrong interface

D) The default route is missing from the routing table

Q2. After verifying that NAT is configured, a technician runs show ip access-lists and sees the NAT ACL with 0 matches after several ping attempts. What is the problem?

A) The ACL is applied in the wrong direction (in vs out)

B) The ACL wildcard mask does not match the source IP addresses of the inside hosts

C) The ACL number does not match the one referenced in the ip nat inside source command

D) NAT overload requires an extended ACL, not a standard ACL

Q3. Which command correctly configures PAT (NAT overload) so that all hosts in 192.168.1.0/24 share the router's WAN IP address 203.0.113.2?

A) ip nat inside source list 10 pool MYPOOL overload

B) ip nat inside source list 10 interface GigabitEthernet0/1 overload

C) ip nat outside source list 10 interface GigabitEthernet0/1 overload

D) ip nat inside source static 192.168.1.0 203.0.113.2