Range di porte UDP NAT

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
matteosr
n00b
Messaggi: 6
Iscritto il: ven 12 dic , 2014 3:44 pm

Ciao a tutti.

Dovrei nattare un range di porte udp da internet verso un indirizzo della lan, su di un cisco 877, ma non riesco proprio a capire come fare.

Devo nattare la porta 5060 udp e le porte da 10000 a 12000 udp, dalla interfaccia Dialer0 verso un ip 192.168.0.XXX.

Se fosse solo per la 5060 non ci sono problemi:

Codice: Seleziona tutto

ip nat inside source static udp 192.168.0.XXX 5060 Dialer0 5060 extended
il problena nasce dal range di porte, che nonostante svariate ricerche non riesco a capire come fare oltre a scrivere 2000 linee singole.


Qualcuno scrive di creare una route-map, tipo:

Codice: Seleziona tutto

ip nat inside source static 192.168.0.XXX Dialer0 route-map VOIP

route-map VOIP permit 10
match ip address 101

access list 101 permit udp any any eq 5060
access list 101 permit udp any any range 10000 12000
Questa configurazione però non funziona, viene rediretto tutto il traffico verso l'indirizzo nattato come se di fatto avessi scritto solo:

Codice: Seleziona tutto

ip nat inside source static 192.168.0.XXX Dialer0 
senza calcolare minimamente la route-map.


Quancuno consiglia di utilizzare il nat pool con l'opzione rotary:

Codice: Seleziona tutto

ip nat pool VOIP 192.168.0.XXX 192.168.0.XXX netmask 255.255.255.0 type rotary
ip nat inside destination list 101 pool VOIP

access list 101 permit udp any any eq 5060
access list 101 permit udp any any range 10000 12000
ma questo purtroppo funziona solo per le porte tcp, per le udp non funziona.



Oltre a scrivere per 2000 volte la riga del nat, conoscete qualche altra soluzione?

Secondo voi un Cisco 877 può funzionare bene con una conf con 2000 righe di ip nat, senza bloccarsi?
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Strano che va per il TCP e non UDP. Potrebbe essere un problema di IOS. Hai provato usando una route-map con il NAT?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
matteosr
n00b
Messaggi: 6
Iscritto il: ven 12 dic , 2014 3:44 pm

Non è un problema di IOS, ho provato su diverse versioni sia 12 che 15, e su diversi router, 887 e 877, ma non va.

Il route map con il nat è il primo esempio che ho postato, ma non vá, sembra che il router reindirizzi tutto il traffico verso l' ip sorgente, anche quello di rientro da altri ip, tranne le regole di nat singole, ignorando completamente la route-map.

Credo di averle provate tutte, ho rivoltato tutto internet e molti come mè hanno risolto solo scrivendo ogni riga singola di nat, ma non posso credere che cisco non abbia pensato ad una cosa così banale.

A parte il discorso di dover scrivere 2000 righe di nat, la mia paura è che la configurazione diventi troppo pesante e il router si blocchi spesso.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Quando ho tempo faccio una simulazione su GNS3.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Non cade foglia che l'inconscio non voglia (S.B.)
Rispondi