Help per cisco 827

[[Dj][DMX]]

Ciao!
Vi chiedo una mano: ho un 827 così configurato:

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Rutto
!
enable secret 5 $1$tTdM$YM8sp.ZHAh1XNuT5E.j9.0
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no ip subnet-zero
ip domain-name ngi.it
ip name-server 88.149.128.12
ip name-server 88.149.128.22
ip dhcp excluded-address 192.168.1.1 192.168.1.5
!
ip dhcp pool CASA
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 88.149.128.12 88.149.128.22
domain-name WORKGROUP
lease infinite
!
ip cef
!
class-map match-any xbox
match access-group 197
!
!
policy-map map_xbox
class xbox
priority percent 80
!
!
!
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip access-group 198 out
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
encapsulation aal5snap
protocol ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer1
ip address negotiated previous
ip access-group 199 in
ip nat outside
encapsulation ppp
ip tcp header-compression passive
dialer pool 1
max-reserved-bandwidth 90
ppp pap sent-username 1995468664 password 7 032F095E5035056176
hold-queue 224 in
!
ip nat translation timeout 300
ip nat translation tcp-timeout 250
ip nat translation udp-timeout 180
ip nat translation finrst-timeout 15
ip nat translation syn-timeout 10
ip nat translation dns-timeout 25
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.1.253 1098 interface Dialer1 1098
ip nat inside source static udp 192.168.1.253 1098 interface Dialer1 1098
ip nat inside source static udp 192.168.1.5 5004 interface Dialer1 5004
ip nat inside source static udp 192.168.1.5 5060 interface Dialer1 5060
ip nat inside source static udp 192.168.1.3 88 interface Dialer1 88
ip nat inside source static udp 192.168.1.3 3074 interface Dialer1 3074
ip nat inside source static tcp 192.168.1.3 3074 interface Dialer1 3074
ip nat inside source static udp 192.168.1.2 13139 interface Dialer1 13139
ip nat inside source static tcp 192.168.1.2 13139 interface Dialer1 13139
ip nat inside source static udp 192.168.1.2 28910 interface Dialer1 28910
ip nat inside source static tcp 192.168.1.2 28910 interface Dialer1 28910
ip nat inside source static udp 192.168.1.2 6667 interface Dialer1 6667
ip nat inside source static tcp 192.168.1.2 6667 interface Dialer1 6667
ip nat inside source static udp 192.168.1.2 29901 interface Dialer1 29901
ip nat inside source static tcp 192.168.1.2 29901 interface Dialer1 29901
ip nat inside source static udp 192.168.1.2 29900 interface Dialer1 29900
ip nat inside source static tcp 192.168.1.2 29900 interface Dialer1 29900
ip nat inside source static udp 192.168.1.2 27900 interface Dialer1 27900
ip nat inside source static tcp 192.168.1.2 27900 interface Dialer1 27900
ip nat inside source static udp 192.168.1.2 4672 interface Dialer1 4672
ip nat inside source static tcp 192.168.1.2 4662 interface Dialer1 4662
ip nat inside source static udp 192.168.1.2 1026 interface Dialer1 1026
ip nat inside source static tcp 192.168.1.2 1026 interface Dialer1 1026
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 197 remark ****XBOX-QoS****
access-list 197 permit ip host 192.168.1.3 any
access-list 198 permit udp any eq domain any
access-list 198 permit tcp any host 192.168.1.253 eq 1098
access-list 198 permit udp any host 192.168.1.253 eq 1098
access-list 198 permit tcp any host 192.168.1.2 eq 1026
access-list 198 permit udp any host 192.168.1.2 eq 1026
access-list 198 permit udp any host 192.168.1.3 eq 88
access-list 198 permit udp any host 192.168.1.3 gt 1024
access-list 198 permit tcp any host 192.168.1.3 gt 1024
access-list 198 permit udp any host 192.168.1.4 eq 88
access-list 198 permit udp any host 192.168.1.4 gt 1024
access-list 198 permit tcp any host 192.168.1.4 gt 1024
access-list 198 permit tcp any host 192.168.1.2 eq 27900
access-list 198 permit udp any host 192.168.1.2 eq 27900
access-list 198 permit tcp any host 192.168.1.2 eq 29900
access-list 198 permit udp any host 192.168.1.2 eq 29900
access-list 198 permit tcp any host 192.168.1.2 eq 27901
access-list 198 permit udp any host 192.168.1.2 eq 27901
access-list 198 permit tcp any host 192.168.1.2 eq 6667
access-list 198 permit udp any host 192.168.1.2 eq 6667
access-list 198 permit tcp any host 192.168.1.2 eq 28910
access-list 198 permit udp any host 192.168.1.2 eq 28910
access-list 198 permit tcp any host 192.168.1.2 eq 13139
access-list 198 permit udp any host 192.168.1.2 eq 19139
access-list 198 permit icmp any any
access-list 198 permit tcp any any established
access-list 198 permit tcp any host 192.168.1.2 eq 4662
access-list 198 permit udp any host 192.168.1.2 eq 4672
access-list 198 deny ip any any
access-list 199 deny ip host 0.0.0.0 any
access-list 199 deny ip 127.0.0.0 0.255.255.255 any
access-list 199 deny ip 192.0.2.0 0.0.0.255 any
access-list 199 deny ip 224.0.0.0 31.255.255.255 any
access-list 199 deny ip 10.0.0.0 0.255.255.255 any
access-list 199 deny ip 172.16.0.0 0.15.255.255 any
access-list 199 deny ip 192.168.0.0 0.0.255.255 any
access-list 199 permit tcp any any eq 1098
access-list 199 permit udp any any eq 1098
access-list 199 permit tcp any any eq 1026
access-list 199 permit udp any any eq 1026
access-list 199 permit udp any any eq 88
access-list 199 deny tcp any any lt 1024
access-list 199 deny udp any any lt 1024
access-list 199 deny udp any any eq netbios-ss
access-list 199 deny udp any any eq netbios-ns
access-list 199 deny udp any any eq netbios-dgm
access-list 199 permit ip any any
!
line con 0
stopbits 1
speed 115200
line vty 0 4
password 7 0016061210541F03032F495A
logging synchronous
login
!
scheduler max-task-time 5000
end

In pratica sia l'ip 192.168.1.3 che .4 hanno la necessità di essere raggiunti sulle stesse porte (3074 TCP e UDP e 88 UDP). Naturalmente, essendo impossibile nattarle su entrambi gli ip, ho optato per sacrificarne uno, ed il tutto va lo stesso (il protocollo in questione è xbox live).
La cosa simpatica è che se accendo e connetto l'ip .3 va tutto a gonfie vele, nel momento in cui accendo e connetto l'ip .4 l'altro si disconnette e non c'è verso di farlo riconnettere finchè il .4 non viene spento!
Sono abbastanza disperato perchè vedendo la configurazione mi sembrerebbe logico il contrario.

Togliendo la policy non cambia assolutamente nulla!

Grazie per l'aiuto.

[[Dj][DMX]]

C'è un aggiornamento:

rimuovendo le regole

ip nat inside source static udp 192.168.1.3 88 interface Dialer1 88
ip nat inside source static udp 192.168.1.3 3074 interface Dialer1 3074
ip nat inside source static tcp 192.168.1.3 3074 interface Dialer1 3074

la faccenda si è risolta. Però non è tutto perfetto perchè il fatto di avere le porte non nattate su nessuno dei due ip crea qualche problemino nei giochi on line.
Questa informazione aggiuntiva può aiutare a capire il problema?

[Wizard]

In effetti la cosa non ha troppo senso...
Non riesci vero a cambiare le porte ad uno degli xbox? In questo modo riusciresti a nattare entrambe le macchine su porte diverse.

[[Dj][DMX]]

No, purtroppo è impossibile, non si possono scegliere!
Io ho pensato a due cose: che l'xbox senza le porte nattate si "incazzi", che il cisco (per qualche motivo a me incomprensibile) le assegni le stesse porte che sono nattate sull'altra, e il risultato sia quello.
Un'altra possibilità, decisamente più attendibile, è che il protocollo xbox live utilizzi altre porte non dichiarate esplicitamente, e che queste porte vengano assegnate all'xbox senza le porte nattate.
In entrambi i casi, però, non mi capacito del perchè vada solo quella che non dovrebbe andare, e soprattutto perchè se tolgo le regole di nat vadano entrambe!
Potrebbe essere utile vedere la tabella di nat quando tutto funziona in modo da vedere che porte vengono utilizzate?(non mi ricordo con che comando si fa).

[Wizard]

Codice: Seleziona tutto

sh ip nat translation