Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco NAT Outside in lokales Subnetz

Mitglied: dog

dog (Level 4) - Jetzt verbinden

19.05.2012 um 18:38 Uhr, 4647 Aufrufe, 3 Kommentare, 2 Danke

Hallo,

ich habe ein Netzwerk mit Geräten, die hinter einem Cisco-Router von aussen erreichbar sein sollen, aber bei denen kein Standard-Gateway eingetragen werden kann.

Ich muss also jede IP aus 0.0.0.0/0 auf 192.168.0.100 - 192.168.0.200 (beispielhaft) mappen.

Mit einer einzelnen IP funktioniert das auch:
01.
ip nat outside source static 80.81.82.83 192.168.0.101 add-route
Wenn ich es aber mit einer Liste versuche, dann klappt es nicht mehr:
01.
ip nat pool dnat2 192.168.0.100 192.168.0.200 netmask 255.255.255.0 add-route 
02.
ip nat outside source list 6 pool dnat2 add-route 
03.
access-list 6 permit any
Ich kann aber mit tcpdump sehen, dass die Pakete von außen korrekt umgeschrieben am Endgerät ankommen und dieses auch eine Antwort sendet, die dann aber scheinbar irgendwo versandet.

Was mache ich also falsch?

Grüße

Max
Mitglied: aqui
20.05.2012, aktualisiert um 15:20 Uhr
Hallo dog
Kann es sein das dein NAT Router für den Rückweg des Packets keine gültige Route hat ? Dann droppt er das Paket nämlich wie es hier in einem entsprechenden HowTo
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_ ...
beschrieben ist. Das würde deinem Verhalten entsprechen und wird aus den Konfig Snippets oben nicht so ganz ersichtlich.
Ein kurzer Testaufbau:

02a14b7784e6697cd551c396958bfb86 - Klicke auf das Bild, um es zu vergrößern

Zeigt das deine Konfig richtig ist !
Die Cisco Testkofig sieht so aus:
version 12.4
!
hostname cisco831
!
interface Ethernet0
ip address 10.1.1.33 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Ethernet1
ip address 10.77.1.1 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
!
ip nat pool Test 10.1.1.20 10.1.1.30 netmask 255.255.255.0
ip nat outside source list 1 pool Test add-route
!
access-list 1 permit any
!
end


Greift man jetzt von außen aus dem 10.77er Netz auf den internen Webserver zu der keine Default Gateway installiert hat:

00da2d6dbb7a576855669addd39569c3 - Klicke auf das Bild, um es zu vergrößern

Sieht man eindeutig die richtige IP Adressverteilung aus dem Pool !
Das korrespondiert auch mit dem NAT Translation Output auf dem Router:
01.
cisco831#sh ip nat translations 
02.
Pro Inside global      Inside local       Outside local      Outside global 
03.
--- ---                ---                10.1.1.20          10.77.1.200 
04.
--- ---                ---                10.1.1.21          10.77.1.1 
05.
tcp 10.1.1.104:80      10.1.1.104:80      10.1.1.20:49441    10.77.1.200:49441 
06.
tcp 10.1.1.104:80      10.1.1.104:80      10.1.1.20:49444    10.77.1.200:49444 
07.
cisco831# 
cisco831#sh ip nat statistics
Total active translations: 5 (0 static, 5 dynamic; 3 extended)
Outside interfaces:
Ethernet1
Inside interfaces:
Ethernet0
Hits: 77 Misses: 0
CEF Translated packets: 41, CEF Punted packets: 100
Expired translations: 3
Dynamic mappings:
-- Outside Source
[Id: 1] access-list 1 pool Test refcount 5
pool Test: netmask 255.255.255.0
start 10.1.1.20 end 10.1.1.30
type generic, total addresses 11, allocated 2 (18%), misses 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
cisco831#


Der Testclient im 10.77.1er Netz zeigt auch sauber die Login Seite des Testwebservers.
Works as designed also und letztlich auch genau das was du siehst in deinem Testaufbau...!
Vermutlich fehlt dir also in der Tat die Rückroute für die externen Clients ?!
Bitte warten ..
Mitglied: dog
20.05.2012, aktualisiert um 16:52 Uhr
Hi aqui,

danke fürs Ausprobieren!
Ich habe jetzt die Befehle nochmal neu eingegeben und diesmal funktioniert es...vielleicht lag es daran, dass ich oben zweimal add-route angegeben habe.

Etwas komisch ist nur, dass bei mir der Router auch in der NAT-Tabelle vorkommt, aber mit seiner LAN-IP:
01.
#sh ip nat trans 
02.
Pro Inside global         Inside local          Outside local         Outside global 
03.
--- ---                   ---                   192.168.0.101         192.168.0.254
Das sieht ja so erstmal relativ überflüssig aus.
Hängt das vielleicht damit zusammen, dass ich auch noch Port-Forwarding mache?

Grüße

Max
Bitte warten ..
Mitglied: aqui
21.05.2012 um 10:54 Uhr
Das ist zu vermuten, da es ja dann 2 NAT Prozesse sind. Port Forwarding segelt ja auch unter der NAT Flagge bei Cisco.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Cisco RV325 Webinterface nur aus lokalem Subnetz aufrufbar - warum?

Frage von stephan902Router & Routing4 Kommentare

Hallo, mein Cisco RV325 ist nur aus dem lokalen Subnetz herausbar administrierbar. Woran könnte das liegen?

LAN, WAN, Wireless

Cisco ASA hinter Router mit NAT

gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing

Doppeltes NAT mit Cisco 851

gelöst Frage von maxmaxRouter & Routing3 Kommentare

Hallo, ich versuche gerade aus Testzwecken ein zweites NAT für einen Client zu schalten. Zurzeit ist der Aufbau folgender: ...

Router & Routing

Cisco NAT (VoiP)

gelöst Frage von Bernhard-BRouter & Routing10 Kommentare

Hallo, ich habe ein kleines Problem mit dem Betrieb eines Asterisk VoiP Servers hinter meiner Cisco Hardware. Zum Aufbau: ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 19 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...