gelöst Bestimmte Zieladressen aus dem NAT ausschließen
Hallo zusammen,
ich habe folgendes Problem, ich habe einen Server, der aus dem Web Daten über eine feste öffentliche IP erhält, zur Verarbeitung über einen VPN-Tunnel an einen unserer Kunden sendet, diese dann mit einer Antwort aus dem Tunnel zurückerhält. Die Antwort wird dann wieder an den ursprünglichen Absender versendet.
Beim Eintreffen der Pakete bei uns und später beim versenden wird die interne IP genattet.
ip nat inside source static 192.168.1.3 8.8.8.8
leider werden durch den Eintrag auch die Datenpakete in den Tunnel genattet, und die Gegenseite kann/darf/will die öffentliche IP nicht weiterrouten. Ich muss also mit meiner internen IP durch den Tunnel.
Wie kann ich den NAT so konfigurieren, dass wenn der Empfänger 10.10.10.2, 10.10.10.3 und 10.10.10.4 ist, meine interne IP nicht genattet wird.
vielen Dan
Gruß
Marco
ich habe folgendes Problem, ich habe einen Server, der aus dem Web Daten über eine feste öffentliche IP erhält, zur Verarbeitung über einen VPN-Tunnel an einen unserer Kunden sendet, diese dann mit einer Antwort aus dem Tunnel zurückerhält. Die Antwort wird dann wieder an den ursprünglichen Absender versendet.
Beim Eintreffen der Pakete bei uns und später beim versenden wird die interne IP genattet.
ip nat inside source static 192.168.1.3 8.8.8.8
leider werden durch den Eintrag auch die Datenpakete in den Tunnel genattet, und die Gegenseite kann/darf/will die öffentliche IP nicht weiterrouten. Ich muss also mit meiner internen IP durch den Tunnel.
Wie kann ich den NAT so konfigurieren, dass wenn der Empfänger 10.10.10.2, 10.10.10.3 und 10.10.10.4 ist, meine interne IP nicht genattet wird.
vielen Dan
Gruß
Marco
5 Antworten
- LÖSUNG MS-Nink schreibt am 05.09.2014 um 10:46:18 Uhr
- LÖSUNG brammer schreibt am 05.09.2014 um 11:14:14 Uhr
- LÖSUNG MS-Nink schreibt am 05.09.2014 um 11:20:12 Uhr
- LÖSUNG 108012 schreibt am 05.09.2014 um 11:33:11 Uhr
- LÖSUNG MS-Nink schreibt am 05.09.2014 um 11:59:04 Uhr
- LÖSUNG 108012 schreibt am 05.09.2014 um 11:33:11 Uhr
- LÖSUNG MS-Nink schreibt am 05.09.2014 um 11:20:12 Uhr
LÖSUNG 05.09.2014 um 10:46 Uhr
ich habe ganz vergessen, ich habe einen Cisco 881 Router/Firewall Kombi im Einsatz
LÖSUNG 05.09.2014 um 11:14 Uhr
Hallo,
Ist das ein Beispiel oder allen ernstes dein Internes NAT?
hast du mal geprüft was hinter der IP 8.8.8.8 steckt ?
Das ist eine public IP und einer der Google DNS Server....
Das würde ich garnicht über eine NAT regel machen sondern über eine ACL.
Eine Access Liste anlege die defniert was erlaubt ist und was nicht
brammer
ip nat inside source static 192.168.1.3 8.8.8.8
Ist das ein Beispiel oder allen ernstes dein Internes NAT?
hast du mal geprüft was hinter der IP 8.8.8.8 steckt ?
Das ist eine public IP und einer der Google DNS Server....
Das würde ich garnicht über eine NAT regel machen sondern über eine ACL.
Eine Access Liste anlege die defniert was erlaubt ist und was nicht
brammer
LÖSUNG 05.09.2014 um 11:20 Uhr
Das ist ein Beispiel, auch die interne IP habe ich geändert, so wie das Netz auf der anderen Seite des Tunnels.
Aber ich brauch doch das NAT, damit mein Server über die öffentliche IP erreichbar ist oder nicht?
Aber ich brauch doch das NAT, damit mein Server über die öffentliche IP erreichbar ist oder nicht?
LÖSUNG 05.09.2014 um 11:33 Uhr
Hallo zusammen,
ip nat inside source static 192.168.1.3/24
Also 192.168.5.0/24 und 192.168.6.0/24
Das NAT schottet Dein Netzwerk mit den privaten IP Adressen von dem oder den anderen
Netzwerk(en) mit den öffentlichen IP Adressen ab! Mehr nicht.
Also auch ohne NAT ist Dein Server oder Router bzw. die Firewall über das Internet
mittels der öffentlichen IP Adresse erreichbar, nur mit NAT ist es eben auch besser
von dem Rest abgeschottet und es kann nicht jeder rein in Dein internes Netzwerk
und überall dran rumspielen.
Gruß
Dobby
ip nat inside source static 192.168.1.3 8.8.8.8
ip nat inside source static 192.168.1.255.255.255.0ip nat inside source static 192.168.1.3/24
Das ist ein Beispiel, auch die interne IP habe ich geändert, so wie das
Netz auf der anderen Seite des Tunnels.
Die sollten auch unterschiedlich sein!Netz auf der anderen Seite des Tunnels.
Also 192.168.5.0/24 und 192.168.6.0/24
Aber ich brauch doch das NAT, damit mein Server über die öffentliche
IP erreichbar ist oder nicht?
Nein das ist so nicht ganz richtig.IP erreichbar ist oder nicht?
Das NAT schottet Dein Netzwerk mit den privaten IP Adressen von dem oder den anderen
Netzwerk(en) mit den öffentlichen IP Adressen ab! Mehr nicht.
Also auch ohne NAT ist Dein Server oder Router bzw. die Firewall über das Internet
mittels der öffentlichen IP Adresse erreichbar, nur mit NAT ist es eben auch besser
von dem Rest abgeschottet und es kann nicht jeder rein in Dein internes Netzwerk
und überall dran rumspielen.
Gruß
Dobby
LÖSUNG 05.09.2014 um 11:59 Uhr
So ich habe jetzt folgende Konfiguration und Fakten:
öffentliche IP Router 80.80.80.80
öffentliche IP Server 80.80.80.81
interne IP Server 192.168.1.3 es gibt noch mehr, die spielen hier aber keine Rolle
Netz hinter dem VPN-Tunnel 10.10.10.0 ich spreche hier aber nur 3 Server an
ip access-list extended nat
deny ip host 192.168.1.3 host 10.10.10.11
deny ip host 192.168.1.3 host 10.10.10.12
deny ip host 192.168.1.3 host 10.10.10.13
permit ip host 192.168.1.3 any
ip nat pool mypool1 80.80.80.81 80.80.80.81 netmask 255.255.255.252
ip nat inside source list nat pool mypool1
Habe ich mein Ziel mit der Konfig erreicht, und Traffic an die 10.10.10.11 .. wird nicht mehr auf die öffentliche IP genattet?
Vielen Dank
öffentliche IP Router 80.80.80.80
öffentliche IP Server 80.80.80.81
interne IP Server 192.168.1.3 es gibt noch mehr, die spielen hier aber keine Rolle
Netz hinter dem VPN-Tunnel 10.10.10.0 ich spreche hier aber nur 3 Server an
ip access-list extended nat
deny ip host 192.168.1.3 host 10.10.10.11
deny ip host 192.168.1.3 host 10.10.10.12
deny ip host 192.168.1.3 host 10.10.10.13
permit ip host 192.168.1.3 any
ip nat pool mypool1 80.80.80.81 80.80.80.81 netmask 255.255.255.252
ip nat inside source list nat pool mypool1
Habe ich mein Ziel mit der Konfig erreicht, und Traffic an die 10.10.10.11 .. wird nicht mehr auf die öffentliche IP genattet?
Vielen Dank
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
