Cisco877 - ATA - STUN EUTELIA

bonovox38 · gio 24 dic , 2009 1:03 pm

Salve, come posso fare per far funzionare lo stun dell'ata su un cisco877?
GRazie in anticipo

zot · dom 27 dic , 2009 3:32 pm

Qui qualche spunto http://www.ciscoforums.it/viewtopic.php ... highlight=

Cmq cerca di essere più preciso.

bonovox38 · lun 04 gen , 2010 11:43 am

Scusami se non sono stato chiaro, praticamente ho notato che le chiamate in uscita vanno tranquillamente quelle in ingresso non arrivano.
Ho aperto le porte in questo modo:

Codice: Seleziona tutto

no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static udp 192.168.23.252 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.23.252 8000 interface Dialer0 8000
ip nat inside source static udp 192.168.23.252 8001 interface Dialer0 8001
ip nat inside source static udp 192.168.23.252 3478 interface Dialer0 3478
ip nat inside source static udp 192.168.23.252 5064 interface Dialer0 5064
ip nat inside source static udp 192.168.23.252 8004 interface Dialer0 8004

Avevo letto che l'877 poteva gestire lo STUN direttamente, ma non saprei come fare. Ho visto il link che mi hai indicato ma per me alle prime armi è ancora poco chiaro.

zot · lun 04 gen , 2010 8:26 pm

Cisco NON supporta lo stun,semplicemente natta in automatico sessioni SIP.Lo stun lo devi impostare sull ata.....per dirgli di fare l autenticazione con l IP pubblico rilevato dal server stun e non con il suo IP che,ovviamente,risulterebbe un IP privato

bonovox38 · mar 05 gen , 2010 5:26 pm

Ho fatto come dici tu e le chimate in ingresso non arrivano.
Sulla stessa linea adsl con un router dlink invece funziona regolarmente.

zot · mer 06 gen , 2010 5:06 pm

Hai attivi firewall o accessl list ?

bonovox38 · gio 07 gen , 2010 10:41 am

Ti posto la configurazione

Codice: Seleziona tutto

Current configuration : 3112 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname OLA_13
!
boot-start-marker
boot-end-marker
!
enable password 7 
!
no aaa new-model
!
!
dot11 syslog
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.23.1 192.168.23.244
ip dhcp excluded-address 192.168.23.251 192.168.23.254
!
ip dhcp pool progresso
   network 192.168.23.0 255.255.255.0
   default-router 192.168.23.254 
   dns-server 192.168.0.254 
   option 42 ip 192.168.0.254 
   option 252 ascii "http://proxy.miaazienda.biz/wpad.dat"
   lease 2
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
! 
!
archive
 log config
  hidekeys
!
!
!
!
!
interface Tunnel23
 description TUNNEL VERSO LE DATI
 ip address 10.0.23.2 255.255.255.252
 tunnel source Dialer0
 tunnel destination xx.xx.xx.xx
 tunnel mode ipip
!         
interface Tunnel123
 description TUNNEL VERSO LE VOIP
 ip address 10.0.123.2 255.255.255.252
 tunnel source Dialer0
 tunnel destination xx.xx.xx.xx
 tunnel mode ipip
!         
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35 
  encapsulation aal5snap
  protocol ppp dialer
  dialer pool-member 1
 !        
 dsl operating-mode auto 
!         
interface FastEthernet0
!         
interface FastEthernet1
!         
interface FastEthernet2
!         
interface FastEthernet3
!         
interface Vlan1
 ip address 192.168.23.254 255.255.255.0 secondary
 ip address 192.168.23.253 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 hold-queue 100 out
!         
interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp pap sent-username  password 7 
!         
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 192.168.0.4
ip route 192.168.0.0 255.255.255.0 Tunnel23
ip route 192.168.0.240 255.255.255.255 Tunnel123
!         
!         
no ip http server
no ip http secure-server
ip nat translation timeout 300
ip nat translation tcp-timeout 180
no ip nat service sip udp port 5060
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static udp 192.168.23.252 5060 interface Dialer0 5060
ip nat inside source static udp 192.168.23.252 8000 interface Dialer0 8000
ip nat inside source static udp 192.168.23.252 8001 interface Dialer0 8001
ip nat inside source static udp 192.168.23.252 3478 interface Dialer0 3478
ip nat inside source static tcp 192.168.23.1 5900 interface Dialer0 5900
ip nat inside source static udp 192.168.23.252 5064 interface Dialer0 5064
ip nat inside source static udp 192.168.23.252 8004 interface Dialer0 8004
!         
access-list 7 permit 192.168.23.0 0.0.0.255
access-list 10 permit any
access-list 101 permit ip 192.168.23.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!         
!         
!         
!         
control-plane
!         
!         
line con 0
 password 7 
 login    
 no modem enable
line aux 0
line vty 0 4
 password 7 
 login    
!         
scheduler max-task-time 5000
end

zot · mar 12 gen , 2010 12:31 am

L'ata si deve autenticare su un IP pubblico vero?
Togli tutti i nat relativi all'ATA che non servono
ricordati di ridare

Codice: Seleziona tutto

ip nat service sip udp port 5060

Usa una route map per il nat0.

Codice: Seleziona tutto

ip nat inside source route-map NAT0 interface Dialer0 overload
!
access-list 100 permit ip 192.168.23.0 0.0.0.255 any
!
route-map NAT0 permit 1
 match ip address 100

posta uno

Codice: Seleziona tutto

sh ver

bonovox38 · mar 12 gen , 2010 10:11 am

Codice: Seleziona tutto

sh ver                                                          
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(15)T5, RELEASE SOFTWARE (fc4)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 01-May-08 02:31 by prod_rel_team

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

COLA_13 uptime is 2 weeks, 23 hours, 27 minutes
System returned to ROM by power-on
System image file is "flash:c870-advipservicesk9-mz.124-15.T5.bin"


This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
[email protected].

Cisco 877 (MPC8272) processor (revision 0x300) with 118784K/12288K bytes of memory.
Processor board ID FHK122226GX
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
4 FastEthernet interfaces
1 ATM interface
128K bytes of non-volatile configuration memory.
28672K bytes of processor board System flash (Intel Strataflash)

Configuration register is 0x2102

zot · mer 13 gen , 2010 10:29 am

Hai provato come ti ho detto?
Prova anche a tirare giù le rotte sui tunnel ed a lasciare solo quella verso la dialer0
su un 877 con

Codice: Seleziona tutto

c870-advipservicesk9-mz.124-22.T1.bin

ci ho tenuto dietro un ATA 186 e un 827-4v il tutto senza nattare nulla...vaglia anche l'ipotesi di fare un upgrade di IOS....io però prima farei qualche prova....

bonovox38 · gio 14 gen , 2010 10:24 am

Ho fatto tutte le prove che mi hai detto ma le chiamate in ingresso non arrivano.
Ho chiuso anche i tunnel temporaneamente ma non è cambiato nulla.

zot · gio 14 gen , 2010 8:09 pm

Mah...non ti rimane che provare ad aggiornare la IOS allora....come ti ho già scritto con un 877 a casa ci ho messo dietro svariati apparati SIP e non ho mai avuto problemi...

bonovox38 · ven 15 gen , 2010 9:30 am

Ho capito il problema, è sicuramente l'instradamento.
Devo far in modo che l'ata esca dalla dialer0 e non dal tunnel per la vpn.

pensavo a questo:

ip route 192.168.23.252 255.255.255.255 Dialer0

ma credo che serva anche un ACL per questa route.
Cosa mi dici?

attualmente queste sono le route:

Codice: Seleziona tutto

Gateway of last resort is 0.0.0.0 to network 0.0.0.0

     81.0.0.0/32 is subnetted, 1 subnets
C       81.174.0.1 is directly connected, Dialer0
     10.0.0.0/30 is subnetted, 2 subnets
C       10.0.23.0 is directly connected, Tunnel23
C       10.0.123.0 is directly connected, Tunnel123
C    192.168.23.0/24 is directly connected, Vlan1
     192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
S       192.168.0.0/24 is directly connected, Tunnel23
S       192.168.0.240/32 is directly connected, Tunnel123
     88.0.0.0/32 is subnetted, 1 subnets
C       88.149.164.104 is directly connected, Dialer0
S*   0.0.0.0/0 is directly connected, Dialer0
S    192.168.0.0/16 [1/0] via 192.168.0.4

zot · mer 20 gen , 2010 2:48 am

zot ha scritto:..........
Prova anche a tirare giù le rotte sui tunnel ed a lasciare solo quella verso la dialer0
.......

Leggendo con attenzione ti saresti risparmiato un paio di giorni

bonovox38 ha scritto:Ti posto la configurazione
Codice: Seleziona tutto
ip route 192.168.0.0 255.255.0.0 192.168.0.4
ip route 192.168.0.0 255.255.255.0 Tunnel23

Non conosco la tua infrastruttura ma a me ste due rotte non mi convincono per nulla....

bonovox38 ha scritto:
Codice: Seleziona tutto
ip route 192.168.23.252 255.255.255.255 Dialer0
ma credo che serva anche un ACL per questa route.
Cosa mi dici?

zot ha scritto: Usa una route map per il nat0.

Leggendo con attenzione .........................

zot · mer 20 gen , 2010 2:48 am

...doppio post....

Cisco877 - ATA - STUN EUTELIA

Login • Iscriviti