23
Cisco Router 887 Problem mit Statisches Routing
Hallo ,
ich möchte eine statische Route erstellen, aber leider funktioniert es nicht.
Vielleicht hat jemand einen guten Tip.
Die Konfig sieht folgendermassen aus:
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
no logging console
enable secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e2
!
no aaa new-model
!
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 10.0.1.1
ip dhcp excluded-address 10.0.1.254
ip dhcp excluded-address 10.0.10.254
!
ip dhcp pool local
network 10.0.1.0 255.255.255.0
default-router 10.0.1.254
domain-name stuz.intern
dns-server 10.0.1.254
!
ip dhcp pool server
host 10.0.1.100 255.255.255.0
default-router 10.0.1.254
dns-server 10.0.1.254
domain-name stuz.intern
!
!
no ip bootp server
ip domain name
ip name-server x.x.x.x
ip name-server x.x.x.x
ip inspect name chilli tcp
ip inspect name chilli udp
no ipv6 cef
!
!controller VDSL 0
!!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description 0
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet1
description 1
no ip address
!
interface FastEthernet2
description 2
no ip address
!
interface FastEthernet3
description 3
switchport access vlan 3
no ip address
no cdp enable
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
!
interface Vlan1
description Routeraddresse
ip address 195.96.15.30 255.255.255.248 secondary
ip address 195.96.15.25 255.255.255.248
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
description vla2
ip address 192.168.4.1 255.255.255.248 secondary
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
description vla3
ip address 10.0.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
!
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address negotiated
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect chilli out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxx password xxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.4.2 9100 195.96.3.25 9100 extendable
ip nat inside source static udp 192.168.4.2 9100 195.96.3.25 9100 extendable
!
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.4.0 0.0.0.248
access-list 1 permit 10.0.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
line con 0
danke und liebe Grüße
ich möchte eine statische Route erstellen, aber leider funktioniert es nicht.
Vielleicht hat jemand einen guten Tip.
Die Konfig sieht folgendermassen aus:
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
no logging console
enable secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e2
!
no aaa new-model
!
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 10.0.1.1
ip dhcp excluded-address 10.0.1.254
ip dhcp excluded-address 10.0.10.254
!
ip dhcp pool local
network 10.0.1.0 255.255.255.0
default-router 10.0.1.254
domain-name stuz.intern
dns-server 10.0.1.254
!
ip dhcp pool server
host 10.0.1.100 255.255.255.0
default-router 10.0.1.254
dns-server 10.0.1.254
domain-name stuz.intern
!
!
no ip bootp server
ip domain name
ip name-server x.x.x.x
ip name-server x.x.x.x
ip inspect name chilli tcp
ip inspect name chilli udp
no ipv6 cef
!
!controller VDSL 0
!!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description 0
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet1
description 1
no ip address
!
interface FastEthernet2
description 2
no ip address
!
interface FastEthernet3
description 3
switchport access vlan 3
no ip address
no cdp enable
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
!
interface Vlan1
description Routeraddresse
ip address 195.96.15.30 255.255.255.248 secondary
ip address 195.96.15.25 255.255.255.248
ip nat outside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
description vla2
ip address 192.168.4.1 255.255.255.248 secondary
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
description vla3
ip address 10.0.1.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
!
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address negotiated
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect chilli out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxx password xxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.4.2 9100 195.96.3.25 9100 extendable
ip nat inside source static udp 192.168.4.2 9100 195.96.3.25 9100 extendable
!
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.4.0 0.0.0.248
access-list 1 permit 10.0.1.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
line con 0
danke und liebe Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 210598
Url: https://administrator.de/contentid/210598
Printed on: April 19, 2024 at 14:04 o'clock
23 Comments
Latest comment
Moin,
poste doch bitte noch den Befehl mit dem du versucht hast die Route zu erstellen. Das "+" wäre noch eine Skizze von wo nach wo der Router routen soll... nicht das am Ende noch ein Logikfehler vorliegt. Eine Route für Subnetze die direkt am Router anliegen ist nicht notwendig.
Grüße,
Dani
poste doch bitte noch den Befehl mit dem du versucht hast die Route zu erstellen. Das "+" wäre noch eine Skizze von wo nach wo der Router routen soll... nicht das am Ende noch ein Logikfehler vorliegt. Eine Route für Subnetze die direkt am Router anliegen ist nicht notwendig.
Grüße,
Dani
Hi Dani, "ppp ipcp route default" wird anstelle ip route 0.0.0.0 0.0.0.0 dialer0 ersetzt soweit ich es verstehe.
Mit einer VPN-Verbindung baue ich eine Verbindung zu einer Datenbank auf und mit dem Befehl " ip nat inside source static tcp 192.168.4.2 9100 195.96.15.25 9100 extendable" versuche ich den Druckauftrag auf den Drucker IP 192.168.4.2 routen.
Ich hoffe es trägt zu dem Verständnis der Problematik bei.
Grüße
Willy
Mit einer VPN-Verbindung baue ich eine Verbindung zu einer Datenbank auf und mit dem Befehl " ip nat inside source static tcp 192.168.4.2 9100 195.96.15.25 9100 extendable" versuche ich den Druckauftrag auf den Drucker IP 192.168.4.2 routen.
Ich hoffe es trägt zu dem Verständnis der Problematik bei.
Grüße
Willy
Kann das sein das du hier was verwechselst oder nicht verstanden hast ??
"ip nat inside source static tcp 192.168.4.2 9100 195.96.15.25 9100 extendable"
ist ein statisches NAT Kommando hat aber mit Routen soviel zu tun wie ein Fisch mit einem Fahhrad....
Frage ist WAS willst du jetzt ?? Routen oder Static NAT ??
Wenn es NAT ist hast du mal den Debugger angeschmissen ob den Drucker Traffic geforwardet wird ?
Vielleicht hilft dir noch dieses Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
"ip nat inside source static tcp 192.168.4.2 9100 195.96.15.25 9100 extendable"
ist ein statisches NAT Kommando hat aber mit Routen soviel zu tun wie ein Fisch mit einem Fahhrad....
Frage ist WAS willst du jetzt ?? Routen oder Static NAT ??
Wenn es NAT ist hast du mal den Debugger angeschmissen ob den Drucker Traffic geforwardet wird ?
Vielleicht hilft dir noch dieses Tutorial:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Hi,
ja, das Static Nat funktioniert nicht.
Pro Inside global Inside local Outside local Outside global
tcp 195.96.15.25:9100 192.168.4.2:9100 --- ---
udp 195.96.15.25:9100 192.168.4.2:9100
Die Übersetzung schaut mal gut aus.
Grüße
ja, das Static Nat funktioniert nicht.
Pro Inside global Inside local Outside local Outside global
tcp 195.96.15.25:9100 192.168.4.2:9100 --- ---
udp 195.96.15.25:9100 192.168.4.2:9100
Die Übersetzung schaut mal gut aus.
Grüße
Du hast vermutlich nur "show ip nat trans" angesehen, richtig ?
Wichtig ist aber ein "show ip nat stat" das sollte dir zeigen ob auch Traffic über das NAT rennt zu diesem Eintrag.
Ein weiteres Problem ist das die externe statische NAT IP gar nicht physisch auf dem Router vorhanden ist.
Deine externe IP ist die 195.96.15.25 (VLAN 1) du benutzt als statische externe NAT IP aber eine ganz andere in einem IP Netz das überhaupt nicht auf dem Router vorhanden ist 195.96.3.25.
Der Router kann also gar nicht auf diese IP antworten und folglich auch kein NAT machen. Ist jetzt fraglich ob das ein Tippfehler ist oder ein Denkfehler.
Unklar in dem Zusammenhang auch was das ADSL Interface macht, wenn VLAN 1 schon irgendwas externes (Internet) ist ?!
Folgende Fehler hat die Konfig ebenfalls:
1.) Auf dem Dialer Interface was vermutlich ins Internet geht fehlt eine outside NAT. Die lokalen RFC 1918 IP Netze können so nicht geroutet werden !
2.) Der DHCP Pool für den Server ist so wie er konfiguriert ist Unsinn, denn es fehlt die Mac Adresse wenn die IP dem Server fest statisch zugewiesen werden soll !
Mit der o.a. Konfig hast du nun 2 konkurierende Pools was Fehler verursacht.
Dieses Tutorial zeigt dir in einer Beispielkonfig wie eine statische DHCP Zuweisung aussehen muss in der Cisco Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
3.) Die Verwendung von Secondary Adressen sollte man immer vermeiden ! Der TCP/IP Standard sieht sowas nicht vor und es ist nicht supportet. Für Migrationen ist das temporär OK aber im Produktivbetrieb sollte man sowas nicht betreiben !
Besser ist wenn du den Secondary IP Netzen ein separates VLAN auf dem Router zuweist und das sauber getrennt betreibst. Mehrere IP Netze auf einem Draht (Layer 2) ist immer ein NoGo in IP Designs !!
Wichtig ist aber ein "show ip nat stat" das sollte dir zeigen ob auch Traffic über das NAT rennt zu diesem Eintrag.
Ein weiteres Problem ist das die externe statische NAT IP gar nicht physisch auf dem Router vorhanden ist.
Deine externe IP ist die 195.96.15.25 (VLAN 1) du benutzt als statische externe NAT IP aber eine ganz andere in einem IP Netz das überhaupt nicht auf dem Router vorhanden ist 195.96.3.25.
Der Router kann also gar nicht auf diese IP antworten und folglich auch kein NAT machen. Ist jetzt fraglich ob das ein Tippfehler ist oder ein Denkfehler.
Unklar in dem Zusammenhang auch was das ADSL Interface macht, wenn VLAN 1 schon irgendwas externes (Internet) ist ?!
Folgende Fehler hat die Konfig ebenfalls:
1.) Auf dem Dialer Interface was vermutlich ins Internet geht fehlt eine outside NAT. Die lokalen RFC 1918 IP Netze können so nicht geroutet werden !
2.) Der DHCP Pool für den Server ist so wie er konfiguriert ist Unsinn, denn es fehlt die Mac Adresse wenn die IP dem Server fest statisch zugewiesen werden soll !
Mit der o.a. Konfig hast du nun 2 konkurierende Pools was Fehler verursacht.
Dieses Tutorial zeigt dir in einer Beispielkonfig wie eine statische DHCP Zuweisung aussehen muss in der Cisco Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
3.) Die Verwendung von Secondary Adressen sollte man immer vermeiden ! Der TCP/IP Standard sieht sowas nicht vor und es ist nicht supportet. Für Migrationen ist das temporär OK aber im Produktivbetrieb sollte man sowas nicht betreiben !
Besser ist wenn du den Secondary IP Netzen ein separates VLAN auf dem Router zuweist und das sauber getrennt betreibst. Mehrere IP Netze auf einem Draht (Layer 2) ist immer ein NoGo in IP Designs !!
hi
Danke, dass Du dir Zeit genommen hast dir die Konfig anzusehen!
Du hast vermutlich nur "show ip nat trans" angesehen, richtig ?
Wichtig ist aber ein "show ip nat stat" das sollte dir zeigen ob auch Traffic über das NAT rennt zu diesem Eintrag.
Ich habe mir das show ip nat statistics angesehen, da tut sich nichts.
Ein weiteres Problem ist das die externe statische NAT IP gar nicht physisch auf dem Router vorhanden ist.
Deine externe IP ist die 195.96.15.25 (VLAN 1) du benutzt als statische externe NAT IP aber eine ganz andere in einem IP Netz das überhaupt nicht auf dem Router vorhanden ist 195.96.3.25.
Der Router kann also gar nicht auf diese IP antworten und folglich auch kein NAT machen. Ist jetzt fraglich ob das ein Tippfehler ist oder ein Denkfehler.
Sorry, das ist ein Tippfehler
Unklar in dem Zusammenhang auch was das ADSL Interface macht, wenn VLAN 1 schon irgendwas externes (Internet) ist ?!
Der Provider hat mir gesagt, ich soll beim Interface Dialer0 keine feste IP-Adresse eintragen. Darum habe ich die feste IP-Adresse beim Vlan1 hinterlegt
Folgende Fehler hat die Konfig ebenfalls:
1.) Auf dem Dialer Interface was vermutlich ins Internet geht fehlt eine outside NAT. Die lokalen RFC 1918 IP Netze können so nicht geroutet werden !
Der sechste Eintrag sollte doch der fehlende Eintrag ip nat outside sein, oder?
2.) Der DHCP Pool für den Server ist so wie er konfiguriert ist Unsinn, denn es fehlt die Mac Adresse wenn die IP dem Server fest statisch zugewiesen werden soll !
Mit der o.a. Konfig hast du nun 2 konkurierende Pools was Fehler verursacht.
Dieses Tutorial zeigt dir in einer Beispielkonfig wie eine statische DHCP Zuweisung aussehen muss in der Cisco Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Ok, ich werde die Einträge hinzufügen
3.) Die Verwendung von Secondary Adressen sollte man immer vermeiden ! Der TCP/IP Standard sieht sowas nicht vor und es ist nicht supportet. Für Migrationen ist das temporär OK aber im Produktivbetrieb sollte man sowas nicht betreiben !
Besser ist wenn du den Secondary IP Netzen ein separates VLAN auf dem Router zuweist und das sauber getrennt betreibst. Mehrere IP Netze auf einem Draht (Layer 2) ist immer ein NoGo in IP Designs !!
Werde ich auch nach ändern.
Danke, dass Du dir Zeit genommen hast dir die Konfig anzusehen!
Du hast vermutlich nur "show ip nat trans" angesehen, richtig ?
Wichtig ist aber ein "show ip nat stat" das sollte dir zeigen ob auch Traffic über das NAT rennt zu diesem Eintrag.
Ich habe mir das show ip nat statistics angesehen, da tut sich nichts.
Ein weiteres Problem ist das die externe statische NAT IP gar nicht physisch auf dem Router vorhanden ist.
Deine externe IP ist die 195.96.15.25 (VLAN 1) du benutzt als statische externe NAT IP aber eine ganz andere in einem IP Netz das überhaupt nicht auf dem Router vorhanden ist 195.96.3.25.
Der Router kann also gar nicht auf diese IP antworten und folglich auch kein NAT machen. Ist jetzt fraglich ob das ein Tippfehler ist oder ein Denkfehler.
Sorry, das ist ein Tippfehler
Unklar in dem Zusammenhang auch was das ADSL Interface macht, wenn VLAN 1 schon irgendwas externes (Internet) ist ?!
Der Provider hat mir gesagt, ich soll beim Interface Dialer0 keine feste IP-Adresse eintragen. Darum habe ich die feste IP-Adresse beim Vlan1 hinterlegt
Folgende Fehler hat die Konfig ebenfalls:
1.) Auf dem Dialer Interface was vermutlich ins Internet geht fehlt eine outside NAT. Die lokalen RFC 1918 IP Netze können so nicht geroutet werden !
Der sechste Eintrag sollte doch der fehlende Eintrag ip nat outside sein, oder?
2.) Der DHCP Pool für den Server ist so wie er konfiguriert ist Unsinn, denn es fehlt die Mac Adresse wenn die IP dem Server fest statisch zugewiesen werden soll !
Mit der o.a. Konfig hast du nun 2 konkurierende Pools was Fehler verursacht.
Dieses Tutorial zeigt dir in einer Beispielkonfig wie eine statische DHCP Zuweisung aussehen muss in der Cisco Konfig:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Ok, ich werde die Einträge hinzufügen
3.) Die Verwendung von Secondary Adressen sollte man immer vermeiden ! Der TCP/IP Standard sieht sowas nicht vor und es ist nicht supportet. Für Migrationen ist das temporär OK aber im Produktivbetrieb sollte man sowas nicht betreiben !
Besser ist wenn du den Secondary IP Netzen ein separates VLAN auf dem Router zuweist und das sauber getrennt betreibst. Mehrere IP Netze auf einem Draht (Layer 2) ist immer ein NoGo in IP Designs !!
Werde ich auch nach ändern.
..."Der Provider hat mir gesagt, ich soll beim Interface Dialer0 keine feste IP-Adresse eintragen. Darum habe ich die feste IP-Adresse beim Vlan1 hinterlegt..."
Das ist aber Blödsinn, denn so bekommst du niemals einen Internet Zugang ! Das kann so nie funktionieren und tut es vermutlich auch nicht !
Das VLAN 1 ist ein lokales LAN Interface und liegt auf den 4 LAN Ports. Niemals ist das ein DSL Interface.
Du kannst das ja auch in der Konfig lesen... das ATM Interface sprich der ADSL Port referenziert auf dem Dialer Pool 1 !
Dem Dialer 0 Interface, also dem PPPoE Dialer, ist der Pool 1 zugeordnet also das ADSL Interface.
Hier fehlt aber komplett das "ip nat outbound", d.h. so ist dann niemals Internet Zugang möglich weil der Router dann auf dem Intern Interface kein NAT macht und die RFC 1918 IPs direkt zum Provider routet der sie dann natürlich gleich wegschmeisst, da private Netze nicht im Internet geroutet werden wie jeder Netzwerker weiss !
Vergiss also ganz schnell den Unsinn den dir der Provider genannt hat !!
Wenn du vom Provider eine statische IP bekommst dann immer auf Basis deiner User Zugangsdaten !
Lass den Router einen DSL Connect machen und mit show ip interface brief siehst du dann deine zugewiesene feste IP.
Das statische NAT muss sich auch genau auf diese beziehen sonst wird das nix !
Änder das und korrigiere die anderen Fehler !
Sinnvoll wäre dann wenn du dann hier nochmal die finale Konfiguration bitte OHNE Tippfehler postest !
Und halte dich bitte an das oben zitierte Tutorial !!
Das beinhaltet eine lauffähige, funktionierende und wasserdichte Konfig !
Das ist aber Blödsinn, denn so bekommst du niemals einen Internet Zugang ! Das kann so nie funktionieren und tut es vermutlich auch nicht !
Das VLAN 1 ist ein lokales LAN Interface und liegt auf den 4 LAN Ports. Niemals ist das ein DSL Interface.
Du kannst das ja auch in der Konfig lesen... das ATM Interface sprich der ADSL Port referenziert auf dem Dialer Pool 1 !
Dem Dialer 0 Interface, also dem PPPoE Dialer, ist der Pool 1 zugeordnet also das ADSL Interface.
Hier fehlt aber komplett das "ip nat outbound", d.h. so ist dann niemals Internet Zugang möglich weil der Router dann auf dem Intern Interface kein NAT macht und die RFC 1918 IPs direkt zum Provider routet der sie dann natürlich gleich wegschmeisst, da private Netze nicht im Internet geroutet werden wie jeder Netzwerker weiss !
Vergiss also ganz schnell den Unsinn den dir der Provider genannt hat !!
Wenn du vom Provider eine statische IP bekommst dann immer auf Basis deiner User Zugangsdaten !
Lass den Router einen DSL Connect machen und mit show ip interface brief siehst du dann deine zugewiesene feste IP.
Das statische NAT muss sich auch genau auf diese beziehen sonst wird das nix !
Änder das und korrigiere die anderen Fehler !
Sinnvoll wäre dann wenn du dann hier nochmal die finale Konfiguration bitte OHNE Tippfehler postest !
Und halte dich bitte an das oben zitierte Tutorial !!
Das beinhaltet eine lauffähige, funktionierende und wasserdichte Konfig !
Hi ich weiss nicht genau warum das stat. Nat nicht funktioniert. Ich bräuchte einen finalen Tipp!
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
no logging console
enable secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e2
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2891074829
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2891074829
revocation-check none
rsakeypair TP-self-signed-2891074829
!
!
crypto pki certificate chain TP-self-signed-2891074829
certificate self-signed 01 nvram:IOS-Self-Sig#3.cer
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 10.0.1.1
ip dhcp excluded-address 10.0.1.5
!
ip dhcp pool local
network 10.0.1.0 255.255.255.248
default-router 10.0.1.1
domain-name stuz.intern
dns-server 10.0.1.1
!
ip dhcp pool server
host 10.0.1.2 255.255.255.248
default-router 10.0.1.1
dns-server 10.0.1.1
domain-name stuz.intern
client-name server
!
ip dhcp pool server Gastnetz2
import all
host 192.168.4.6 255.255.255.248
default-router 192.168.4.1
dns-server 192.168.4.1
domain-name stuz.extern
client-name server
!
ip dhcp pool Gastnetz2
network 192.168.4.0 255.255.255.248
default-router 192.168.4.1
domain-name stuz.extern
dns-server 192.168.4.1
!
!
!
no ip bootp server
ip domain name stuz.intern
ip name-server 195. x.x.x
ip name-server 195. x.x.x
ip inspect name myfw tcp
ip inspect name myfw udp
no ipv6 cef
!
!
vpdn enable
!
vpdn-group pppoe
!
license udi pid C887VAM-W-E-K9 sn FCZ1721C2R0
!
!
username studrt privilege 15 secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e
2
!
controller VDSL 0
!
!!
crypto isakmp policy 10
hash md5
authentication pre-share
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description Lan Stuz Verwaltung
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet1
description LifeSize / PC-Inf
no ip address
no cdp enable
!
interface FastEthernet2
description Gastnetz2 /Drucker
switchport access vlan 4
no ip address
no cdp enable
!
interface FastEthernet3
description Gastnetz (Seminarraum)
switchport access vlan 3
no ip address
no cdp enable
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
!
interface Vlan1
description Routeraddresse
no ip address
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
description Lokales Lan Stuz
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip inspect myfw in
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
description Gastnetz (Seminarraum)
ip address 10.0.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan4
description Subnetz fur Drucker
ip address 192.168.4.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address 195. x.x.x 255.255.255.248
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 103 interface Dialer0 overload
ip nat inside source static tcp 10.0.1.5 9100 195. x.x.x 9100 extendable
ip nat inside source static udp 10.0.1.5 9100 195. x.x.x 9100 extendable
!
access-list 1 permit 10.0.1.0 0.0.0.248
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.4.0 0.0.0.248
access-list 95 permit any
access-list 102 permit tcp 192.168.4.0 0.0.0.248 any
access-list 102 permit udp 192.168.4.0 0.0.0.248 any
access-list 102 permit icmp 192.168.4.0 0.0.0.248 any
access-list 102 deny ip any any
access-list 102 permit tcp any any
access-list 103 permit icmp 10.0.1.0 0.0.0.248 any
access-list 103 permit udp 10.0.1.0 0.0.0.248 any
access-list 103 permit tcp 10.0.1.0 0.0.0.248 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
Gruß
w
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
no logging console
enable secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e2
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2891074829
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2891074829
revocation-check none
rsakeypair TP-self-signed-2891074829
!
!
crypto pki certificate chain TP-self-signed-2891074829
certificate self-signed 01 nvram:IOS-Self-Sig#3.cer
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 10.0.1.1
ip dhcp excluded-address 10.0.1.5
!
ip dhcp pool local
network 10.0.1.0 255.255.255.248
default-router 10.0.1.1
domain-name stuz.intern
dns-server 10.0.1.1
!
ip dhcp pool server
host 10.0.1.2 255.255.255.248
default-router 10.0.1.1
dns-server 10.0.1.1
domain-name stuz.intern
client-name server
!
ip dhcp pool server Gastnetz2
import all
host 192.168.4.6 255.255.255.248
default-router 192.168.4.1
dns-server 192.168.4.1
domain-name stuz.extern
client-name server
!
ip dhcp pool Gastnetz2
network 192.168.4.0 255.255.255.248
default-router 192.168.4.1
domain-name stuz.extern
dns-server 192.168.4.1
!
!
!
no ip bootp server
ip domain name stuz.intern
ip name-server 195. x.x.x
ip name-server 195. x.x.x
ip inspect name myfw tcp
ip inspect name myfw udp
no ipv6 cef
!
!
vpdn enable
!
vpdn-group pppoe
!
license udi pid C887VAM-W-E-K9 sn FCZ1721C2R0
!
!
username studrt privilege 15 secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e
2
!
controller VDSL 0
!
!!
crypto isakmp policy 10
hash md5
authentication pre-share
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description Lan Stuz Verwaltung
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet1
description LifeSize / PC-Inf
no ip address
no cdp enable
!
interface FastEthernet2
description Gastnetz2 /Drucker
switchport access vlan 4
no ip address
no cdp enable
!
interface FastEthernet3
description Gastnetz (Seminarraum)
switchport access vlan 3
no ip address
no cdp enable
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
!
interface Vlan1
description Routeraddresse
no ip address
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
description Lokales Lan Stuz
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip inspect myfw in
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
description Gastnetz (Seminarraum)
ip address 10.0.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan4
description Subnetz fur Drucker
ip address 192.168.4.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address 195. x.x.x 255.255.255.248
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 103 interface Dialer0 overload
ip nat inside source static tcp 10.0.1.5 9100 195. x.x.x 9100 extendable
ip nat inside source static udp 10.0.1.5 9100 195. x.x.x 9100 extendable
!
access-list 1 permit 10.0.1.0 0.0.0.248
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 1 permit 192.168.4.0 0.0.0.248
access-list 95 permit any
access-list 102 permit tcp 192.168.4.0 0.0.0.248 any
access-list 102 permit udp 192.168.4.0 0.0.0.248 any
access-list 102 permit icmp 192.168.4.0 0.0.0.248 any
access-list 102 deny ip any any
access-list 102 permit tcp any any
access-list 103 permit icmp 10.0.1.0 0.0.0.248 any
access-list 103 permit udp 10.0.1.0 0.0.0.248 any
access-list 103 permit tcp 10.0.1.0 0.0.0.248 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit gre any any
access-list 111 deny ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
Gruß
w
Zuerst...dein DHCP ist immer noch Schrott und faslch konfiguriert. Du hast jetzt 2 Pools die sich gegenseitig bekriegen... Die Baustelle ist noch offen !!!
So wird ein Hosteintrag gemacht der einen IP auf Mac Basis fest zuweist:
ip dhcp pool stuz-server
host 10.0.1.2 255.255.255.0
client-identifier 008e.7f6f.378e <-- das ist die Mac des Servers !
default-router 10.0.1.1
dns-server 10.0.1.1
client-name server
domain-name server.stuz.intern
!
Gleiches gilt für das Gastnetz !
Zweiter Punkt....
Was bitte soll der Konfig Unsinn
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 103 interface Dialer0 overload
mit den beiden parallelen Overload Statements ??
Das funktioniert nicht zudem ist es Blödsinn, denn oben mit der ACL 1 erlaubst du ja schon global alle IP Protokolle warum also erlaubst du zusätzlich im 2ten mit der List 103 dann nochmal gesondert ICMP, TCP und UDP die oben schon mit der 1 erlaubt wurden ??
Vergiss also diesen Blödsinn und bereinige das bitte in eine einzige Overload ACL
access-list 103 permit ip 10.0.1.0.0 0.0.0.7 any
access-list 103 permit ip 192.168.102.0 0.0.0.7 any
access-list 103 permit ip 192.168.103.0 0.0.0.7 any
access-list 103 permit ip 192.168.104.0 0.0.0.7 any
und ein ein ziges Overload Statement in der Konfig !
Lösch die ACLs die du nicht benutzt !
Thema static NAT:
Auch hier wieder das gleiche Konfig Chaos Drama und 2 unsinnige parallele und gleiche Einträge. So kann das nicht funktionieren und ein NAT Troubleshooting ist quasi unmöglich.
Fazit: Es bleibt die Bitte endlich mal deine Konfig sauber zu gestalten und diesen überflüssigen Konfig Müll zu entfernen (übrigens macht man das immer mit einem no vor dem Kommando !)
Erst dann macht es wirklich Sinn mit dem NAT Troubleshooting weiterzumachen.
So wird ein Hosteintrag gemacht der einen IP auf Mac Basis fest zuweist:
ip dhcp pool stuz-server
host 10.0.1.2 255.255.255.0
client-identifier 008e.7f6f.378e <-- das ist die Mac des Servers !
default-router 10.0.1.1
dns-server 10.0.1.1
client-name server
domain-name server.stuz.intern
!
Gleiches gilt für das Gastnetz !
Zweiter Punkt....
Was bitte soll der Konfig Unsinn
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source list 103 interface Dialer0 overload
mit den beiden parallelen Overload Statements ??
Das funktioniert nicht zudem ist es Blödsinn, denn oben mit der ACL 1 erlaubst du ja schon global alle IP Protokolle warum also erlaubst du zusätzlich im 2ten mit der List 103 dann nochmal gesondert ICMP, TCP und UDP die oben schon mit der 1 erlaubt wurden ??
Vergiss also diesen Blödsinn und bereinige das bitte in eine einzige Overload ACL
access-list 103 permit ip 10.0.1.0.0 0.0.0.7 any
access-list 103 permit ip 192.168.102.0 0.0.0.7 any
access-list 103 permit ip 192.168.103.0 0.0.0.7 any
access-list 103 permit ip 192.168.104.0 0.0.0.7 any
und ein ein ziges Overload Statement in der Konfig !
Lösch die ACLs die du nicht benutzt !
Thema static NAT:
Auch hier wieder das gleiche Konfig Chaos Drama und 2 unsinnige parallele und gleiche Einträge. So kann das nicht funktionieren und ein NAT Troubleshooting ist quasi unmöglich.
Fazit: Es bleibt die Bitte endlich mal deine Konfig sauber zu gestalten und diesen überflüssigen Konfig Müll zu entfernen (übrigens macht man das immer mit einem no vor dem Kommando !)
Erst dann macht es wirklich Sinn mit dem NAT Troubleshooting weiterzumachen.
Leider gehts noch nicht 
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
no logging console
enable secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e2
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2891074829
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2891074829
revocation-check none
rsakeypair TP-self-signed-2891074829
!
!
crypto pki certificate chain TP-self-signed-2891074829
certificate self-signed 01 nvram:IOS-Self-Sig#3.cer
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 10.0.1.1
ip dhcp excluded-address 10.0.1.5
!
!
ip dhcp pool stuz-server
host 10.0.1.2 255.255.255.248
client-identifier 01bc.1665.93e1.ec
default-router 10.0.1.1
dns-server 10.0.1.1
domain-name server.stuz.intern
!
ip dhcp pool stuz
network 10.0.1.0 255.255.255.248
default-router 10.0.1.1
dns-server 10.0.1.1
domain-name server.stuz.intern
!
!
!
no ip bootp server
no ip domain lookup
ip domain name stuz.intern
ip name-server 195.96.0.4
ip name-server 195.170.224.45
no ipv6 cef
!
!
vpdn enable
!
!
license udi pid C887VAM-W-E-K9 sn FCZ1721C2R0
!
!
username studrt privilege 15 secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e
2
!
controller VDSL 0
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description Lan
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
no ip address
no cdp enable
!
interface FastEthernet3
switchport access vlan 3
no ip address
no cdp enable
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
!
interface Vlan1
description Routeraddresse
no ip address
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
ip address 10.0.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
!
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address 195.x.x.x 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username eurostuy@office.uta.biz password 7 082F454C5F0A17461F
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.0.1.5 9100 195.x.x.x 9100 extendable
ip nat inside source static udp 10.0.1.5 9100 195.x.x.x 9100 extendable
!
access-list 1 permit 10.0.1.0 0.0.0.248
access-list 1 permit 192.168.2.0 0.0.0.255
no cdp run
!
!
!
line con 0
version 15.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
no logging console
enable secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e2
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-2891074829
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2891074829
revocation-check none
rsakeypair TP-self-signed-2891074829
!
!
crypto pki certificate chain TP-self-signed-2891074829
certificate self-signed 01 nvram:IOS-Self-Sig#3.cer
no ip source-route
no ip gratuitous-arps
ip cef
!
!
!
ip dhcp excluded-address 10.0.1.1
ip dhcp excluded-address 10.0.1.5
!
!
ip dhcp pool stuz-server
host 10.0.1.2 255.255.255.248
client-identifier 01bc.1665.93e1.ec
default-router 10.0.1.1
dns-server 10.0.1.1
domain-name server.stuz.intern
!
ip dhcp pool stuz
network 10.0.1.0 255.255.255.248
default-router 10.0.1.1
dns-server 10.0.1.1
domain-name server.stuz.intern
!
!
!
no ip bootp server
no ip domain lookup
ip domain name stuz.intern
ip name-server 195.96.0.4
ip name-server 195.170.224.45
no ipv6 cef
!
!
vpdn enable
!
!
license udi pid C887VAM-W-E-K9 sn FCZ1721C2R0
!
!
username studrt privilege 15 secret 4 nfRijKMlZ2HKthbaz028dieMXmjMAP2BZ7vvzkBt2e
2
!
controller VDSL 0
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
!
!
interface ATM0
no ip address
no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
pvc 0/35
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface Ethernet0
no ip address
shutdown
!
interface FastEthernet0
description Lan
switchport access vlan 2
no ip address
no cdp enable
!
interface FastEthernet1
no ip address
no cdp enable
!
interface FastEthernet2
no ip address
no cdp enable
no ip address
no cdp enable
!
interface FastEthernet3
switchport access vlan 3
no ip address
no cdp enable
!
interface Wlan-GigabitEthernet0
description Internal switch interface connecting to the embedded AP
no ip address
!
interface wlan-ap0
description Service module interface to manage the embedded AP
ip unnumbered Vlan1
!
interface Vlan1
description Routeraddresse
no ip address
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan2
ip address 192.168.2.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
interface Vlan3
ip address 10.0.1.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
!
!
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address 195.x.x.x 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username eurostuy@office.uta.biz password 7 082F454C5F0A17461F
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.0.1.5 9100 195.x.x.x 9100 extendable
ip nat inside source static udp 10.0.1.5 9100 195.x.x.x 9100 extendable
!
access-list 1 permit 10.0.1.0 0.0.0.248
access-list 1 permit 192.168.2.0 0.0.0.255
no cdp run
!
!
!
line con 0
Warum wieder ZWEI parallele statische IP Einträge für die gleiche lokale IP ???
ich habe die static udp... gelöscht, leider trotzdem nichts. keine ahnung an was das noch liegen kann.
Das Problem ist das parallel dazu laufende Overload NAT. Mot statischem Port basierten NAT verträgt sich das nicht, das ist bekannt.
Sinnvoll wäre es mal wenn du mal ein debug ip nat gemacht hättest beim remoten Zugriff aber leider hats dazu ja nicht gereicht...
Du kannst das Problem aber ganz einfach lösen indem du ein Host IP NAT machst OHNE Portangabe.
Oder...2te Option du arbeitest mit Pools.
ip nat outside source list 1 pool transfer add-route sollte dein problem eigentlich lösen...?!
Der Einfachheit halber solltest du also erstmal ein normales Host NAT machen.
Sonst müsstest du mal ein paar Debug Outputs hier liefern um mal ins Eingemachte zu gehen...
Sehr sinnvoll ist auch nochmals diese Lektüre:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und auch
http://www.cisco.com/en/US/tech/tk648/tk361/tk438/tsd_technology_suppor ...
Sinnvoll wäre es mal wenn du mal ein debug ip nat gemacht hättest beim remoten Zugriff aber leider hats dazu ja nicht gereicht...
Du kannst das Problem aber ganz einfach lösen indem du ein Host IP NAT machst OHNE Portangabe.
Oder...2te Option du arbeitest mit Pools.
ip nat outside source list 1 pool transfer add-route sollte dein problem eigentlich lösen...?!
Der Einfachheit halber solltest du also erstmal ein normales Host NAT machen.
Sonst müsstest du mal ein paar Debug Outputs hier liefern um mal ins Eingemachte zu gehen...
Sehr sinnvoll ist auch nochmals diese Lektüre:
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und auch
http://www.cisco.com/en/US/tech/tk648/tk361/tk438/tsd_technology_suppor ...
Hallo, ich habe es mit Host IP NAT ohne Portangabe versucht, geht aber nicht. Jetzt versuche ich es mit dem NAT-Pool. Ich habe vorher einen Cisco 1605r gehabt und da hat es mit dem NAT Pool problem los funktioniert. Der Unterschied besteht darin vom Anbieter Kabel zu ADSL und der Router von Cisco 1605r zu Cisco 887 va
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address x.x.xx 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username eurostuy@office.uta.biz password 7 082F454C5F0A17461F
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat pool studrt x.x.x x.x.x netmask 255.255.255.248 (pool Address ist die gleiche wie beim dialier0)
ip nat inside source list 1 pool studrt overload
ip nat inside source static 192.168.2.5 x.x.x ( addresse vom pool )
!
access-list 1 permit 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
router#show ip nat statistics
Total active translations: 11 (1 static, 10 dynamic; 10 extended)
Peak translations: 0
Outside interfaces:
Dialer0, Virtual-Access1
Inside interfaces:
Vlan1, Vlan2, Vlan3, Vlan4
Hits: 3 Misses: 0
CEF Translated packets: 1, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 7] access-list 1 pool studrt refcount 8
pool studrt: netmask 255.255.255.248
start x.x.x end x.x.x
type generic, total addresses 1, allocated 1 (100%), misses 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address x.x.xx 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username eurostuy@office.uta.biz password 7 082F454C5F0A17461F
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
ip forward-protocol nd
no ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip nat pool studrt x.x.x x.x.x netmask 255.255.255.248 (pool Address ist die gleiche wie beim dialier0)
ip nat inside source list 1 pool studrt overload
ip nat inside source static 192.168.2.5 x.x.x ( addresse vom pool )
!
access-list 1 permit 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
router#show ip nat statistics
Total active translations: 11 (1 static, 10 dynamic; 10 extended)
Peak translations: 0
Outside interfaces:
Dialer0, Virtual-Access1
Inside interfaces:
Vlan1, Vlan2, Vlan3, Vlan4
Hits: 3 Misses: 0
CEF Translated packets: 1, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 7] access-list 1 pool studrt refcount 8
pool studrt: netmask 255.255.255.248
start x.x.x end x.x.x
type generic, total addresses 1, allocated 1 (100%), misses 0
Total doors: 0
Appl doors: 0
Normal doors: 0
Queued Packets: 0
Äääähhh WAS genau meinst du mit dem kryptischen Satz "...Der Unterschied besteht darin vom Anbieter Kabel zu ADSL und der Router von Cisco 1605r zu Cisco 887 va.." ??
Vom 1605r zum 887va besteht keinerlei Unterschied jedenfalls was die IOS Konfig Syntax von Cisco anbetrifft...!
Mit dem Rest kann man nix anfangen oder soll das heissen du bist von einem Kabel TV Anbieter zu einem ADSL Anbieter gewechselt... Bahnhof ?!?
Vom 1605r zum 887va besteht keinerlei Unterschied jedenfalls was die IOS Konfig Syntax von Cisco anbetrifft...!
Mit dem Rest kann man nix anfangen oder soll das heissen du bist von einem Kabel TV Anbieter zu einem ADSL Anbieter gewechselt... Bahnhof ?!?
Ja genau, ich habe den Kabel TV Anbieter gewechselt zu einem ADSL Anbieter. Beim Kabel Anbieter habe ich zu diesen Einstellungen:
ip nat pool studrt x.x.x x.x.x netmask 255.255.255.248 (pool Address ist die gleiche wie beim dialier0)
ip nat inside source list 1 pool studrt overload
ip nat inside source static 192.168.2.5 x.x.x ( addresse vom pool )
!
access-list 1 permit 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
einfach noch ein ip route 0.0.0.0 0.0.0.0 (gateway) von Kabelbetreiber angegeben und es hat funktioniert.
Das Interface war zudem ein ethernet anstatt das jetzige Dialer interface für das ADSL.
ip nat pool studrt x.x.x x.x.x netmask 255.255.255.248 (pool Address ist die gleiche wie beim dialier0)
ip nat inside source list 1 pool studrt overload
ip nat inside source static 192.168.2.5 x.x.x ( addresse vom pool )
!
access-list 1 permit 192.168.2.0 0.0.0.255
dialer-list 1 protocol ip permit
einfach noch ein ip route 0.0.0.0 0.0.0.0 (gateway) von Kabelbetreiber angegeben und es hat funktioniert.
Das Interface war zudem ein ethernet anstatt das jetzige Dialer interface für das ADSL.
Das sollte genau so auf einem Dialer Interface funktionieren.
Einziger gravierender Unterschied ist das du ohne Pool mit dem Dialer und der dortigen einzigen IP immer PAT (Port Adress Transaltion) machst.
Vermutlich lässt sich PAT und dein static NAT nicht kombinieren, was man mal genau testen müsste.
Deshalb hat dein Pool Szenario oben beim Kabel auch problemlos funktioniert und wird es auch mit dem Dialer Interface sofern du dort eine Pool Konfig umsetzen kannst, oder ...eine freie Adresse im DSL IP Netz die du für das static NAT verwenden kannst. Damit funktioniert es dann sauber.
Einziger gravierender Unterschied ist das du ohne Pool mit dem Dialer und der dortigen einzigen IP immer PAT (Port Adress Transaltion) machst.
Vermutlich lässt sich PAT und dein static NAT nicht kombinieren, was man mal genau testen müsste.
Deshalb hat dein Pool Szenario oben beim Kabel auch problemlos funktioniert und wird es auch mit dem Dialer Interface sofern du dort eine Pool Konfig umsetzen kannst, oder ...eine freie Adresse im DSL IP Netz die du für das static NAT verwenden kannst. Damit funktioniert es dann sauber.
leider lässt es mit der freien adresse im dsl-netz nicht kombinieren.
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxx password xxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
ip nat pool studrt x.x.x.x netmask 255.255.255.248
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static 192.168.2.5 x.x.x.x
!
access-list 1 permit 192.168.2.0 0.0.0.255
router#sh ip nat statistics
Total active translations: 134 (1 static, 133 dynamic; 134 extended)
Peak translations: 0
Outside interfaces:
Dialer0, Virtual-Access2
Inside interfaces:
Vlan1, Vlan2, Vlan3, Vlan4
Hits: 3 Misses: 0
CEF Translated packets: 1, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool studrt refcount 133
pool studrt: netmask 255.255.255.248
start x.x.x.x end x.x.x.x
type generic, total addresses 1, allocated 1 (100%), misses 0
[
interface Dialer0
description WAN Schnittstelle ADSL2+
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxx password xxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip dns server
ip nat pool studrt x.x.x.x netmask 255.255.255.248
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static 192.168.2.5 x.x.x.x
!
access-list 1 permit 192.168.2.0 0.0.0.255
router#sh ip nat statistics
Total active translations: 134 (1 static, 133 dynamic; 134 extended)
Peak translations: 0
Outside interfaces:
Dialer0, Virtual-Access2
Inside interfaces:
Vlan1, Vlan2, Vlan3, Vlan4
Hits: 3 Misses: 0
CEF Translated packets: 1, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 3] access-list 1 pool studrt refcount 133
pool studrt: netmask 255.255.255.248
start x.x.x.x end x.x.x.x
type generic, total addresses 1, allocated 1 (100%), misses 0
[
Bei : Config:
ip nat pool studrt x.x.x.x x.x.x.x netmask 255.255.255.248
ip nat inside source list 1 pool studrt overload
ip nat inside source static tcp 192.168.2.5 9100 x.x.x.x 9100 extendable
!
router#sh ip nat statistics
Total active translations: 61 (1 static, 60 dynamic; 61 extended)
Peak translations: 61, occurred 00:00:00 ago
Outside interfaces:
Dialer0, Virtual-Access2
Inside interfaces:
Vlan1, Vlan2, Vlan3, Vlan4
Hits: 338 Misses: 0
CEF Translated packets: 123, CEF Punted packets: 30
Expired translations: 2
Dynamic mappings:
-- Inside Source
[Id: 5] access-list 1 pool studrt refcount 60
pool studrt: netmask 255.255.255.248
start x.x.x.x end x.x.x.x
type generic, total addresses 1, allocated 1 (100%), misses 0
prot 6: port #9100 refcount 1 syscount 1 localport 9100, localaddr 192.168.2
.5, flags 1
prot 17: port #53 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.
0.0, flags 1
prot 17: port #69 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.
0.0, flags 1
prot 17: port #496 refcount 1 syscount 1 localport 4294967295, localaddr 0.0
.0.0, flags 1
prot 17: port #1558 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
prot 17: port #5060 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
prot 17: port #7648 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
prot 17: port #9875 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
ip nat pool studrt x.x.x.x x.x.x.x netmask 255.255.255.248
ip nat inside source list 1 pool studrt overload
ip nat inside source static tcp 192.168.2.5 9100 x.x.x.x 9100 extendable
!
router#sh ip nat statistics
Total active translations: 61 (1 static, 60 dynamic; 61 extended)
Peak translations: 61, occurred 00:00:00 ago
Outside interfaces:
Dialer0, Virtual-Access2
Inside interfaces:
Vlan1, Vlan2, Vlan3, Vlan4
Hits: 338 Misses: 0
CEF Translated packets: 123, CEF Punted packets: 30
Expired translations: 2
Dynamic mappings:
-- Inside Source
[Id: 5] access-list 1 pool studrt refcount 60
pool studrt: netmask 255.255.255.248
start x.x.x.x end x.x.x.x
type generic, total addresses 1, allocated 1 (100%), misses 0
prot 6: port #9100 refcount 1 syscount 1 localport 9100, localaddr 192.168.2
.5, flags 1
prot 17: port #53 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.
0.0, flags 1
prot 17: port #69 refcount 1 syscount 1 localport 4294967295, localaddr 0.0.
0.0, flags 1
prot 17: port #496 refcount 1 syscount 1 localport 4294967295, localaddr 0.0
.0.0, flags 1
prot 17: port #1558 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
prot 17: port #5060 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
prot 17: port #7648 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
prot 17: port #9875 refcount 1 syscount 1 localport 4294967295, localaddr 0.
0.0.0, flags 1
Debugge mal den NAT Prozess mit dem Debug Kommando (term mon nicht vergessen wenn du per Telnet drauf bist) wenn du von außen auf diese statische NAT IP zugreifen willst.
Gibt der Debugger irgendwelche Fehler aus ?
Gibt der Debugger irgendwelche Fehler aus ?
Mit dem Befehl : debug ip nat detailed sollte ich doch einen Output bekommen, oder. Es kommt dann IP NAT detailed is on. Kann es dann sein, dass eben bei einem Fehler gar nichts angezeigt wird?
Konsole oder Telnet/SSH Session ?
Bei letzterer kommt nur ein Output wenn du "term mon" eingibst !
Wenn kein Output ankommt bei Zugriff auf die beteiligten IPs dann funktioniert das NAT generell nicht und dann ist da noch ein größerer Kinken in der Konfig !
Bei letzterer kommt nur ein Output wenn du "term mon" eingibst !
Wenn kein Output ankommt bei Zugriff auf die beteiligten IPs dann funktioniert das NAT generell nicht und dann ist da noch ein größerer Kinken in der Konfig !
Konsole...
