Cisco IOS NAT64 Pool mit nur einer WAN-IP
Hallo zusammen!
Ich bin gerade dabei ein Testnetz für NAT64 aufzusetzen unter IOS 15.9(3)M7.
Ein Problem ist jedoch der Pool für die Ipv4-Adressen:
Ich bekomme vom ISP nur eine statische IPv4, nicht mehrere. Für normales stateful NAT44 reicht das problemlos, hier meckert der. Er übernimmt aber die Option in den Pool und versucht diesen auch zu nutzen.
Auf dem Dialer0 ist die IP mit /32 eingetragen (wird per IPCP erfragt, ist aber statisch).
Er weigert sich jedoch, diese IP zu nutzen. Das Resultiert in einem ICMP administratively prohibited.
Gibt es hier eine Option, das Verhalten zu ändern?
Eine Übersetzung auf private Adressen will ich vermeiden, weil dann 2x NAT stattfindet, was eigentlich sinnfrei ist und mehr Ressourcen benötigen wird.
--
Gruß
Marco
Ich bin gerade dabei ein Testnetz für NAT64 aufzusetzen unter IOS 15.9(3)M7.
Ein Problem ist jedoch der Pool für die Ipv4-Adressen:
xxx(config)#nat64 v4 pool nat64-pool <WAN-IP> <WAN-IP>
%Pool nat64-pool prefix length 32 too large; should be no more than 30
Ich bekomme vom ISP nur eine statische IPv4, nicht mehrere. Für normales stateful NAT44 reicht das problemlos, hier meckert der. Er übernimmt aber die Option in den Pool und versucht diesen auch zu nutzen.
Auf dem Dialer0 ist die IP mit /32 eingetragen (wird per IPCP erfragt, ist aber statisch).
Dynamic Mapping Statistics
access-list nat64-erlaubt pool nat64-pool refcount 0
pool nat64-pool:
start 82.139.xxx end 82.139.xxx #die gleiche IP
total addresses 1, allocated 0 (0%)
address exhaustion packet count 14
Er weigert sich jedoch, diese IP zu nutzen. Das Resultiert in einem ICMP administratively prohibited.
Gibt es hier eine Option, das Verhalten zu ändern?
Eine Übersetzung auf private Adressen will ich vermeiden, weil dann 2x NAT stattfindet, was eigentlich sinnfrei ist und mehr Ressourcen benötigen wird.
--
Gruß
Marco
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7393963463
Url: https://administrator.de/forum/cisco-ios-nat64-pool-mit-nur-einer-wan-ip-7393963463.html
Ausgedruckt am: 21.12.2024 um 16:12 Uhr
9 Kommentare
Neuester Kommentar
Das Cisco Dokument zu der Thematik kennst du?
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
Es sind etwas wenig Infos um zielgerichtet antworten zu können.
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
Es sind etwas wenig Infos um zielgerichtet antworten zu können.
- Vermutllich stateful NAT64? (oder doch stateless?)
- Was ist dein Ziel? v6 Client auf v4 Host oder v4 Client auf v6 Host?
- Die Interface Konfig wäre hilfreich
Das ist sehr wahrscheinlich das Problem. Eine Pool IP kann nicht gleichzeitig eine aktive Interface IP sein.
Ggf. probierst du es einmal mit einer statischen Translation:
https://community.cisco.com/t5/networking-knowledge-base/ipv6-stateful-n ...
Ggf. probierst du es einmal mit einer statischen Translation:
https://community.cisco.com/t5/networking-knowledge-base/ipv6-stateful-n ...
Wieso funktioniert das dann bei stateful NAT44?
Weil du da dann ohne Pooling genaugenommen PAT (overload) machst sofern du das meinst. Du kannst NAT44 ja auch mit einem Pool machen aber auch da darf der Pool dann nicht gleichzeitig eine aktive Interface Adresse sein.https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
Irgendwie auch verständlich, denn die Sessions werden dann ja direkt auf freie Pool Adressen umgesetzt. Das sind 2 völlig verschiedene Verfahren. Du darfst hier also nicht Äpfel mit Birnen vergleichen.
So mit Bordmitteln wirst du vermutlich, wenn überhaupt, nur eine einzige Verbindung mit einem statischen Statement ala nat64 v6v4 static 2001:db8:2::100 10.0.0.100 hinbekommen.
Ohne eine 2te v4 oder ein /30er Subnetz für den Pool wirst du sehr wahrscheinlich nix.
Keine Chance für Dual Stack in VLAN 2?
Ohne eine 2te v4 oder ein /30er Subnetz für den Pool wirst du sehr wahrscheinlich nix.
Keine Chance für Dual Stack in VLAN 2?
Du könntest das natürlich mit etwas zusätzlicher HW machen indem du einen RasPi oder Mikrotik ins Segment bringst, den das NAT64 machen lässt und die dann NATest.
Das ist aber von hinten durch die Brust... und nicht vergleichbar, denn du bleibst ja wieder am v4 PAT hängen und musst mit Port Forwarding rumfrickeln. Port Forwarding bedeutet dann limitieren auf Ports und einzelne Endgeräte. Also wieder Äpfel und Birnen...
Direktes NAT64 ist ja transparent, erfordert dann aber eben freie v4 IPs.
Das ist aber von hinten durch die Brust... und nicht vergleichbar, denn du bleibst ja wieder am v4 PAT hängen und musst mit Port Forwarding rumfrickeln. Port Forwarding bedeutet dann limitieren auf Ports und einzelne Endgeräte. Also wieder Äpfel und Birnen...
Direktes NAT64 ist ja transparent, erfordert dann aber eben freie v4 IPs.