7
Bintec, Cisco - NAT Port Forwarding von Innen
Hallo,
ich habe unabhänig voneinander mit einem Bintec R3000 und einem Cisco 3620 das selbe Problem:
Beide benutzen DSL mit dynamischer IP.
Beide haben einen Webserver im LAN, der per NAT Port Forwarding vom WAN aus erreichbar ist.
Das funktioniert soweit.
Versuche ich aber jetzt den Webserver aus dem LAN heraus über die externe IP anzusprechen lande ich bei beiden auf der Konfigurationsseite, was absolut nicht gewollt ist.
Es scheint so als würden die beiden Router den Request automatisch umschreiben wenn sie sehen, dass die Ziel-IP gleich der externen IP des Routers ist und NAT so gar nicht mehr greifen kann.
Ich hab schon ein bisschen gegoogelt aber keine wirkliche Lösung gefunden. Alle Ansätze die ich gefunden habe basieren auf "DNS Doctoring", also dem Umschreiben des DNS-Requests für Hosts von Innen auf die IP von Innen. Das funktioniert natürlich in der Praxis nur so lange, wie alle Port Forwarding Regeln auch nur auf eine interne IP gehen.
Gibt es für die beiden genannten Router wirklich keine Lösung?
Grüße
Max
ich habe unabhänig voneinander mit einem Bintec R3000 und einem Cisco 3620 das selbe Problem:
Beide benutzen DSL mit dynamischer IP.
Beide haben einen Webserver im LAN, der per NAT Port Forwarding vom WAN aus erreichbar ist.
Das funktioniert soweit.
Versuche ich aber jetzt den Webserver aus dem LAN heraus über die externe IP anzusprechen lande ich bei beiden auf der Konfigurationsseite, was absolut nicht gewollt ist.
Es scheint so als würden die beiden Router den Request automatisch umschreiben wenn sie sehen, dass die Ziel-IP gleich der externen IP des Routers ist und NAT so gar nicht mehr greifen kann.
Ich hab schon ein bisschen gegoogelt aber keine wirkliche Lösung gefunden. Alle Ansätze die ich gefunden habe basieren auf "DNS Doctoring", also dem Umschreiben des DNS-Requests für Hosts von Innen auf die IP von Innen. Das funktioniert natürlich in der Praxis nur so lange, wie alle Port Forwarding Regeln auch nur auf eine interne IP gehen.
Gibt es für die beiden genannten Router wirklich keine Lösung?
Grüße
Max
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 111419
Url: https://administrator.de/contentid/111419
Printed on: April 18, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hallo,
du spricht die Geräte ja nicht über die (wechselnde) externe IP sondern den Hostnamen an.
Du könntest einene DNS-Eintrag mit diesem Namen und der internen IP hinterlegen.
Bei diesen Geräte müßte das sogar zentral im Gerät gehen.
Alternativ in der Hosts-Datei des PCs.
Also server.dyndns.org 192.168.0.25
Stefan
du spricht die Geräte ja nicht über die (wechselnde) externe IP sondern den Hostnamen an.
Du könntest einene DNS-Eintrag mit diesem Namen und der internen IP hinterlegen.
Bei diesen Geräte müßte das sogar zentral im Gerät gehen.
Alternativ in der Hosts-Datei des PCs.
Also server.dyndns.org 192.168.0.25
Stefan
Hallo,
Das habe ich oben ja bereits angesprochen.
Ist natürlich keine Lösung sobald man Port Forwarding für verschiedene interne Hosts braucht...
Vor allem aber kann man so nicht testen ob Port Forwarding überhaupt geht, weil das Paket ja nie durch den Router geht.
Grüße
Max
Du könntest einene DNS-Eintrag mit diesem Namen und der internen IP hinterlegen.
Das habe ich oben ja bereits angesprochen.
Ist natürlich keine Lösung sobald man Port Forwarding für verschiedene interne Hosts braucht...
Vor allem aber kann man so nicht testen ob Port Forwarding überhaupt geht, weil das Paket ja nie durch den Router geht.
Grüße
Max
Hallo,
diese LAN->WAN->LAN Geschichte funktioniert mit vielen Geräten entweder gar nicht oder "fehlerhaft". Eine andere Lösung ist mir nicht bekannt.
Schon mal beim Hersteller nachgefragt?
Stefan
diese LAN->WAN->LAN Geschichte funktioniert mit vielen Geräten entweder gar nicht oder "fehlerhaft". Eine andere Lösung ist mir nicht bekannt.
Schon mal beim Hersteller nachgefragt?
Stefan
Hi Max,
du könntest bei dem Cisco 3620 über eine ACL auf dem WAN-Interface definieren, welche Anfragen ins Internet dürfen. Somit könntest du die externe IP-Adresse sperren und durch statischen NAT, diese externe IP-Adresse umsetzen auf die LAN-IP-Adresse des Webservers.
Eine andere Idee wäre, dass du auch per ACL abfrägst, ob die IP-Adresse = ext. IP-Adresse auf dem LAN-Interface "outgoing" ist Sprich sollte, das zutreffen kannst du über eine "policy-map" das Soure-Interface ändern und somit kommt wieder das NAT an sich zum Einsatz.
Grüße,
Dani
du könntest bei dem Cisco 3620 über eine ACL auf dem WAN-Interface definieren, welche Anfragen ins Internet dürfen. Somit könntest du die externe IP-Adresse sperren und durch statischen NAT, diese externe IP-Adresse umsetzen auf die LAN-IP-Adresse des Webservers.
Eine andere Idee wäre, dass du auch per ACL abfrägst, ob die IP-Adresse = ext. IP-Adresse auf dem LAN-Interface "outgoing" ist Sprich sollte, das zutreffen kannst du über eine "policy-map" das Soure-Interface ändern und somit kommt wieder das NAT an sich zum Einsatz.
Schon mal beim Hersteller nachgefragt?
Schon mal bei Cisco eine Anfrage ohne entsprechenden Vertrag eröffnet?! Grüße,
Dani
Hallo Dani,
du meinst im Sinne von:
?
Da wäre ja aber das Problem, dass A.B.C.D, also die externe IP-Adresse dynamisch ist.
Mir fällt jetzt nur ein dort eben dann "host site.dyndns.org" einzugeben, aber ob das so funktioniert?
Das mit den policy-maps habe ich nicht so ganz verstanden, aber ich habe auch noch nicht viel Ahnung von Cisco-Routern.
Grüße
Max
du meinst im Sinne von:
Somit könntest du die externe IP-Adresse sperren
access-list 101 deny tcp any host A.B.C.D eq 80durch statischen NAT, diese externe IP-Adresse umsetzen auf die LAN-IP-Adresse des Webservers
ip nat outside source static tcp A.B.C.D 80 10.26.4.15 80 Da wäre ja aber das Problem, dass A.B.C.D, also die externe IP-Adresse dynamisch ist.
Mir fällt jetzt nur ein dort eben dann "host site.dyndns.org" einzugeben, aber ob das so funktioniert?
Das mit den policy-maps habe ich nicht so ganz verstanden, aber ich habe auch noch nicht viel Ahnung von Cisco-Routern.
Grüße
Max
Hi Max.
du hast Recht...mit dyn. IP-Adresse wird es schwer mit statischen NAT.
Grüße,
Dani
du hast Recht...mit dyn. IP-Adresse wird es schwer mit statischen NAT.
Das mit den policy-maps habe ich nicht so ganz verstanden, aber ich habe auch noch nicht viel Ahnung von Cisco-Routern.
Das ist eine längere Sache...ich würde dir ein Beispiel gerne schreiben, hab aber gerade wenig Zeit. Wie gesagt, war so eine Idee..denn wir haben ein ähnliches Konstrukt im Einsatz für spezielle VPN-Fälle.Grüße,
Dani
Um den Thread aufzuklären:
Bei Bintec ist dies nicht möglich (Antwort des Supports)
Bei Cisco firmiert das unter Hairpin NAT und die Aussagen sind unterschiedlich.
Definitiv geht es nur bei ASAs und dort auch nur mit statischen IPs: http://nitec.biz/2009/04/06/setup-u-turn-hairpinning-on-cisco-asa/
Für IOS bleibt die von Dani angebotene Lösung:
Ein anderer Ansatz in beiden Fällen ist DNS Doctoring (oder netter ausgedrückt: Split DNS)
Grüße
Max
Bei Bintec ist dies nicht möglich (Antwort des Supports)
Bei Cisco firmiert das unter Hairpin NAT und die Aussagen sind unterschiedlich.
Definitiv geht es nur bei ASAs und dort auch nur mit statischen IPs: http://nitec.biz/2009/04/06/setup-u-turn-hairpinning-on-cisco-asa/
Für IOS bleibt die von Dani angebotene Lösung:
ip nat outside source static tcp A.B.C.D 80 10.26.4.15 80 Ein anderer Ansatz in beiden Fällen ist DNS Doctoring (oder netter ausgedrückt: Split DNS)
Grüße
Max
