Добрый день!
Решаю задачу по настройке сервера телефонии за NAT Cisco 2911.
CISCO2911 MGMT_IP: 10.40.1.1
SIPSERVER_IP: 10.40.12.2
Нужно обеспечить доступность портов tcp/udp 5060,5061,5090 а так же диапазон для RTP udp 9000-10999.
Для этого использую route-map NAT. Порты видны из внешней сети, все отлично. Проблема была не сразу обнаружена - про добавлении
Код:
ip nat inside source static 10.40.12.2 172.22.1.2 route-map SIP_NAT
отваливается доступ к 2911 по SSH, а пинги проходят, но не от 2911, а сервера телефонии. Для доступа по SSH пришлось добавить костыль-строку
Код:
ip nat inside source static tcp 10.40.1.1 22 172.22.1.2 22 extendable
.
Посмотрел
icmp перенаправляется на 10.40.12.2, видимо SSH уходит туда же.
Как только убираю route-map, все возвращается, пинги бегают, но соответственно теряю 9000-10999 udp порты. Добавлять 20 000 записей в конфиг нет никакого желания
В ACL SIP_PORTS указаны только необходимые порты и диапазоны, почему все уходит на 10.40.12.2?
Задача сделать так чтобы route-map на SIP-телефонию не влиял на работу остальных хостов. Пробовал уже по-всякому, не получается, такое ощущение что чего-то просто не понимаю. С route-map работаю впервые, обычно хватало nat inside static.
Код:
!
interface GigabitEthernet0/1
description -==WAN2==-
ip address 172.22.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2.112
description -==SRV_SIP==-
encapsulation dot1Q 112
ip address 10.40.12.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
no cdp enable
!
no ip nat service sip udp port 5060
ip nat inside source list NAT interface GigabitEthernet0/1 overload
ip nat inside source static tcp 10.40.1.1 22 172.22.1.2 22 extendable
ip nat inside source static tcp 10.40.12.2 3389 172.22.1.2 42721 extendable
ip nat inside source static 10.40.12.2 172.22.1.2 route-map SIP_NAT
!
ip access-list extended NAT
permit ip 10.40.0.0 0.0.255.255 any
ip access-list extended SIP_PORTS
permit tcp host 10.40.12.2 any eq 5060 5061 5090
permit udp host 10.40.12.2 any eq 5060 5061 5090
permit udp host 10.40.12.2 any range 9000 10999
!
route-map SIP_NAT permit 10
match ip address SIP_PORTS