Error al crear un nat estático en un 6500

Guillermo_87 · ‎11-15-2011

Sera que alguien me podria ayudar con este tema:

Al querer configurar un nat estatico en el puerto 443 de un 6500 me tira el siguiente error:

%Port 443 is being used by system min443.

Segui este documento para solucionar el problema pero de igual manera no funciona:

http://www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_caveats_31s.html

•CSCth62425

When trying to add a static and extendable NAT rule for port 80 or 443 (PAT), the operation fails with this error message:

%Port 80 is being used by system min80

or

%Port 443 is being used by system min443

This condition has been observed when upgrading from IOS Release 12.2(33)XND to 12.2(33)XNF and the following has occurred:

–Add NAT rule for either port 80 or 443.

–Delete NAT rule.

–Add the same nat rule with a different Inside Local address.

–Delete NAT rule.

–Try to add the original NAT rule.

–At this point, no other static nat rule can be added with the same Inside Global and port 80/443

Workaround: Perform the following steps:

1. Make sure that the HTTP port and secure-port are assigned to other than 80 and 443, respectively, and enable them.

For example:

ip http port 10500

ip http secure-port 11000

ip http server

ip http secure-server

2. Configure the port static mappings for the above ports for 80 and 443.

For example:

ip nat inside source static tcp 10.50.50.50 80 10.1.1.4 80 extendable

ip nat inside source static tcp 10.50.50.50 443 10.1.1.4 443 extendable

3. Change these HTTP ports back to 80 and 443.

For example:

ip http port 80

ip http secure-port 443

4. Afterwards, the above port static mappings can be deleted and then added again, normally

Atte,

Guillermo

c_castillov · ‎11-15-2011

Hola Guillermo,

El problema aqui es que el 6500 tiene configurado el puerto 443 para su administración. Recuerda que lo puedes administrar via Telnet (puerto 23) , SSH (como telnet pero encriptado por puerto 22) pero además tiene activada la administración via HTTP (puerto 80) y HTTPS (http encriptado puerto 443).

Por eso te manda ese mensaje pues el propio 6500 ya está usando ese puerto y no lo puedes "abrir" para que entren a otro equipo porque ya lo está ocupando el propio 6500.

En lo personal yo no ocupo la administración vía Web por lo que deshabilito esta función .

En general recomiendo no usar telnet ni http porque la comunicación no es encriptada y si lo administras desde Internet pueden interceptar passwords, configuraciones, etc... Lo mejor es usar cuando sea posible SSH para linea de comandos y HTTPS si es que usas la administración web.

Con respecto a la solución al problema, lo que hay que hacer es:

Opcion A:

Si no utilizas la administración web en la configuración hay que deshabilitarlas con los comandos.

(config)# no ip http server

(config)# no ip http secure-server

Opción B:

Si utilizas la administración via Web entonces hay que cambiar el puerto para la adminstración HTTPS del 6500

(config)#ip http secure-port XXXXX (XXXX= puerto que quieras utilizar)

Después de cambiarlo para acceder via http seguro tendrias que poner en el navegador :

https://ip_del_6500:xxxxx nota: xxxx significa = puerto que configuraste.

Espero que esto te sea útil.

Recibe un cordial saludo,

Christian Castillo

Promotech México

www.promotechmexico.com.mx

Guillermo_87 · ‎11-16-2011

Hola Christian,

Yo realice eso que me estas indicando, pero no me funcionó.

Voy a probar nuevamente deshabilitando y te comento como me fue

Gracias

Guillermo_87 · ‎11-17-2011

Christian,

Encontre la solucion, es un bug de IOS del 6500 que esta corriendo mi equipo.

Atte,

Guillermo

c_castillov · ‎11-17-2011

Excelente Guillermo que bueno,

Podrías incluir algún vinculo hacia la información sobre ese bug en caso de que alguien lo necesite?

Saludos!

Christian C.

Guillermo_87 · ‎11-21-2011

Adjunto el link, donde se detalla el problema y la solucion.

http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCtl21288&from=summary

Atte,

Guillermo