REF: http://kb.juniper.net/InfoCenter/index?page=content&id=KB14075

Проблема

Теряются пакеты при прохождении через NAT

Диагностика:
- пингаем внешний интерфейс роутера и видим потери пакетов.
- команда get pport выдает малое количество свободных pports
- команда get counter statistics interface bgroup0 | i dip выдает большое/увеличивающееся число в колонке no dip

Суть проблемы заключается в том, что при использовании в качестве NAT адреса основного IP маршрутизатора для обеспечения port address translation используются некие pseudo-port (pports). Роутер SSG5 поддерживает только 2048 pports (таблицу с указанием количества поддреживаемых портов можно узнать в REF).

Таким образом, у нас роутер поддерживает только 2048 сессий NAT при такой настройке.

Решение проблемы.

Заказать у провайдера и сконфигурировать дополнительный внешний IP. Настроить NAT через этот IP. В такой конфигурации как ни странно псевдо-порты не используются, и становятся доступны 65000 портов для NAT.

Настройка описана в документе: http://www.juniper.net/techpubs/software/screenos/screenos6.1.0/ce_v8.pdf в пункте Chapter 2 - Source Network Address Translation “NAT-Src from a DIP Pool with PAT Enabled”