28
Externe IP von innen erreichbar machen
Hallo,
ich habe bei mir nen kleinen FTP eingerichtet und möchte diesen auch intern von der Adresse von ddns.net nutzen. Extern kann auch auf den Server mit der Adresse auch zugreifen, nur intern will es nicht. Meine Frage ist, ob ich da an meinem NAT-Router von Cisco was anpassen muss, denn mit der internen IP ist der Server intern natürlich erreichbar.
Es soll später so aussehen:
Auf dem Notebook wird von example.ddns.net:21 das Verzeichnis eingebunden. Das soll sowohl im Netzwerk intern als auch vom Internet aus funktionieren.
Was wäre da der richtige Lösungsansatz?
LG Marco
ich habe bei mir nen kleinen FTP eingerichtet und möchte diesen auch intern von der Adresse von ddns.net nutzen. Extern kann auch auf den Server mit der Adresse auch zugreifen, nur intern will es nicht. Meine Frage ist, ob ich da an meinem NAT-Router von Cisco was anpassen muss, denn mit der internen IP ist der Server intern natürlich erreichbar.
Es soll später so aussehen:
Auf dem Notebook wird von example.ddns.net:21 das Verzeichnis eingebunden. Das soll sowohl im Netzwerk intern als auch vom Internet aus funktionieren.
Was wäre da der richtige Lösungsansatz?
LG Marco
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 352519
Url: https://administrator.de/contentid/352519
Printed on: April 26, 2024 at 18:04 o'clock
28 Comments
Latest comment
Hallo,
Such mal Hairpin NAT oder NAT Loopback.
Such mal Hairpin NAT oder NAT Loopback.
Guckst du hier:
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Router entsprechend customizen, dann rennt es auch.
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Router entsprechend customizen, dann rennt es auch.
Beispiel: externe IP 8.8.8.8 vom Router
Interner Server 10.0.0.30
Rechner: 10.0.0.40
Gateway:10.0.0.1
.30 fragt an 8.8.8.8:21 --> Router erkennt das und leitet auf die interne IP weiter (ip nat inside ... 8.8.8.8:21 --> 10.0.0.30:21) weiter.
Stimmt das so?
Wie richte ich das im Cisco ein?
Interner Server 10.0.0.30
Rechner: 10.0.0.40
Gateway:10.0.0.1
.30 fragt an 8.8.8.8:21 --> Router erkennt das und leitet auf die interne IP weiter (ip nat inside ... 8.8.8.8:21 --> 10.0.0.30:21) weiter.
Stimmt das so?
Wie richte ich das im Cisco ein?
Absolut wichtig ist, das der FTP Client hier zwingend den passive Mode supportet. Active FTP Serssions bekommst du nicht über ein NAT Router durch den Port Dualismus TCP 20 und TCP 21. Warum das so ist ? Guckst du hier:
http://slacksite.com/other/ftp.html
Auf dem Cisco macht man das mit static NAT ! Guckst du hier:
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
ip nat inside source static tcp 192.168.1.10 21 interface Dialer0 21
Setzt z.B. aus dem Internet eingehendn externe FTP Sessions auf den internen FTP Server 192.168.1.10.
Wichtig ist hier zu beachten das die .10 dann aus dem Overload NAT ausgenommen wird und auch inbound natürlich die Firewall am externen Interface angepasst werden muss um TCP 21 passieren zu lassen.
http://slacksite.com/other/ftp.html
Auf dem Cisco macht man das mit static NAT ! Guckst du hier:
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...
ip nat inside source static tcp 192.168.1.10 21 interface Dialer0 21
Setzt z.B. aus dem Internet eingehendn externe FTP Sessions auf den internen FTP Server 192.168.1.10.
Wichtig ist hier zu beachten das die .10 dann aus dem Overload NAT ausgenommen wird und auch inbound natürlich die Firewall am externen Interface angepasst werden muss um TCP 21 passieren zu lassen.
passive ist aktiv. Die Weiterleitung besteht bereits.
Was der FTP nun kann oder incht ist aber erstmal egal, denn es geht um NAT Loopback. Da hat selbst der Hostname.ddns eigentlich nichts mehr mit zu tun, sondern nur die externe IP und der Router. Die Notlösung wäre ein DNS-Server im internen Netz, dern den CLeints zugeiesen wird, der dann name.ddns auf die interne IP auflöst.
Da der FTP derzeit aus mir noch unbekannten Gründen von aussen nicht nutzbar ist, wird das anhand vom Squid getestet, derauch von aussen funktioniert 10.0.0.115.
Wenn also der FF name.ddns.net anfrägt, soll der intern auf 10.0.0.115 gehen. Das müsste dann entweder per DNS oder per NAT-Loopback gemacht werden. Squid läuft auf Port 443 sowohl auf dem Server als auch extern. Weiterleitung besteht und läuft.
Wie sähe nun der Kram für das NAT-Loopback aus?
ip nat inside source static tcp 10.0.0.115 21 interface Dialer0 21 ist die Weiterleitung
access-list 111 permit tcp any any eq ftp ist die Ausnahme in der FirewallWas der FTP nun kann oder incht ist aber erstmal egal, denn es geht um NAT Loopback. Da hat selbst der Hostname.ddns eigentlich nichts mehr mit zu tun, sondern nur die externe IP und der Router. Die Notlösung wäre ein DNS-Server im internen Netz, dern den CLeints zugeiesen wird, der dann name.ddns auf die interne IP auflöst.
Da der FTP derzeit aus mir noch unbekannten Gründen von aussen nicht nutzbar ist, wird das anhand vom Squid getestet, derauch von aussen funktioniert 10.0.0.115.
Wenn also der FF name.ddns.net anfrägt, soll der intern auf 10.0.0.115 gehen. Das müsste dann entweder per DNS oder per NAT-Loopback gemacht werden. Squid läuft auf Port 443 sowohl auf dem Server als auch extern. Weiterleitung besteht und läuft.
Wie sähe nun der Kram für das NAT-Loopback aus?
Was der FTP nun kann oder incht ist aber erstmal egal,
Nicht wirklich. Im NAT Umfeld ist passive Mode absolute Pflicht, sonst eben kein FTP...aber egal.denn es geht um NAT Loopback.
Bahnhof, Ägypten...???Loopback ?? Was soll das sein ?
Da hat selbst der Hostname.ddns eigentlich nichts mehr mit zu tun
Das ist zweifelsohne richtig. Der löst lediglich die dynamische PPPoE IP Adresse am Dialer Interface in einen festen Hostnamen auf. Nicht mehr und nicht weniger.Die Notlösung wäre ein DNS-Server im internen Netz,
Oder ein fester Eintrag in der hosts oder lmhosts Datei.Da der FTP derzeit aus mir noch unbekannten Gründen von aussen nicht nutzbar ist,
How come ?? Macht dein Client doch kein Passive Mode ?? Fehler in der NAT Konfig ?? Interne FTP Server IP vergessen aus der Overload Konfig zu DENYen ? Normal geht das fehlerlos !Wenn also der FF name.ddns.net anfrägt, soll der intern auf 10.0.0.115 gehen
Das ist dann logischerweise ein reines DNS Problem. Hat mit FTP an sich dann nix zu tun !oder per NAT-Loopback gemacht werden.
??? Was soll denn NAT Loopback sein ?? Und was hat das zu tun mit einer DNS Auflösung ??Dein Rechner oder der DNS muss ja erstmal irgendwie "merken" das er jetzt im internen Netzwerk werkelt und abhängig davon dann entweder die DynDNS IP oder die lokale IP herausgeben.
Das ist allein Sache des DNS und hat rein gar nix erstmal mit NAT und oder FTP zu tun. Ganz andere Baustelle...
Wie sähe nun der Kram für das NAT-Loopback aus?
Was soll das, bitte sehr, denn sein ??
mit Loopback ist das gemeint, was wisi angesprochen hat. Der NAT-Router soll, wenn aus dem internen Netz ne Anfrage an die externe IP vom Router kommt, diese korrekt an den internen Rechner weiterleiten.
Beispiel:
externe IP vom Router 8.8.8.8:443
interner PC 10.0.0.10
Server 10.0.0.20:443
Wenn von außen Zugriff erfolgt, wird von 8.8.8.8:443 auf 10.0.0.20:443 weitergeleitet.
Wenn jetzt 10.0.0.10 auf 8.8.8.8:443 will, soll auch 10.0.0.20:443 aufgerufen werden.
Ich hoffe, es sit jetz klar, was ich damit meine. Hosts-Datei eght nur bei meinen Desktop-Rechnern, bei den Laptops wird das zum Problem, denn diese sind ja mal intern und mal extern.
Wenn ich per FTP intern alden, nutze ich passive.
ftp 10.0.0.115
dann passive und dann get, put usw.
Beispiel:
externe IP vom Router 8.8.8.8:443
interner PC 10.0.0.10
Server 10.0.0.20:443
Wenn von außen Zugriff erfolgt, wird von 8.8.8.8:443 auf 10.0.0.20:443 weitergeleitet.
Wenn jetzt 10.0.0.10 auf 8.8.8.8:443 will, soll auch 10.0.0.20:443 aufgerufen werden.
Ich hoffe, es sit jetz klar, was ich damit meine. Hosts-Datei eght nur bei meinen Desktop-Rechnern, bei den Laptops wird das zum Problem, denn diese sind ja mal intern und mal extern.
Wenn ich per FTP intern alden, nutze ich passive.
ftp 10.0.0.115
dann passive und dann get, put usw.
Das hier löst übrigens alle deine Probleme auf Schlag:
https://www.heise.de/ct/ausgabe/2017-21-Privater-Nameserver-und-Adblocke ...
Stichwort: DynDNS Überlagerung im Artikel.
Das auf einem Raspberry Pi installiert kostet im 24x7 Dauerbetrieb 12 Euro im Jahr und bringt zig DNS Vorteile inklusive Wahrung der Privatshäre
https://www.heise.de/ct/ausgabe/2017-21-Privater-Nameserver-und-Adblocke ...
Stichwort: DynDNS Überlagerung im Artikel.
Das auf einem Raspberry Pi installiert kostet im 24x7 Dauerbetrieb 12 Euro im Jahr und bringt zig DNS Vorteile inklusive Wahrung der Privatshäre
Ich glaube nicht, dass das meine Probleme löst. Der DNS könnte dann auhc auf dem P4-Server laufen, der schon Proxy, FTP und SHH macht.
Zumindest die von diesem Beitrag.
hätte das aber gerne auf dem Cisco, wenn das geht. Wenn nicht, wird auf dem P4Server ein DNS installiert.
Hallo,
anzusprechen ist die andere Möglichkeit. Dann spart man sich das Hairpin-NAT gleich ganz.
FTP ist das so ziemlich das unsicherste Protokoll das es gibt, es überträgt die gesamte Kommunikation in
Klartext und zwar auch die Namen und Passwörter! Hier sollte man FTP im LAN verwenden und S/FTP oder
FTP/S über das Internet nutzen. FileZilla hat einen Server und einen Klienten der kostenlos und das auch gut
realisieren kann.
für so etwas benutzt dann sollte das auch gut passen. Überlegt es Euch doch einmal. Selbst ein Heimisches
NAS als VPN Server und FTP Server sollten da besser, da sicherer sein.
Für den internen Zugriff: 192.168.1.210:21/20
Gruß
Dobbv
ich habe bei mir nen kleinen FTP eingerichtet und möchte diesen auch intern von der Adresse von ddns.net nutzen.
Extern kann auch auf den Server mit der Adresse auch zugreifen, nur intern will es nicht.
Heipin-NAT ist da dann eine Möglichkeit und den Server mittels der externen und der internen IP AdresseExtern kann auch auf den Server mit der Adresse auch zugreifen, nur intern will es nicht.
anzusprechen ist die andere Möglichkeit. Dann spart man sich das Hairpin-NAT gleich ganz.
FTP ist das so ziemlich das unsicherste Protokoll das es gibt, es überträgt die gesamte Kommunikation in
Klartext und zwar auch die Namen und Passwörter! Hier sollte man FTP im LAN verwenden und S/FTP oder
FTP/S über das Internet nutzen. FileZilla hat einen Server und einen Klienten der kostenlos und das auch gut
realisieren kann.
Meine Frage ist, ob ich da an meinem NAT-Router von Cisco was anpassen muss, denn mit der internen IP ist der
Server intern natürlich erreichbar.
Und was ist an den zwei IP Adressen auszusetzen? Sollte doch gut funktionieren oder?Server intern natürlich erreichbar.
Es soll später so aussehen:
Auf dem Notebook wird von example.ddns.net:21 das Verzeichnis eingebunden.
WebDAV, OwnCLoud oder andere sollten da wesentlich agiler reagieren und wenn man einen Cloud DienstAuf dem Notebook wird von example.ddns.net:21 das Verzeichnis eingebunden.
für so etwas benutzt dann sollte das auch gut passen. Überlegt es Euch doch einmal. Selbst ein Heimisches
NAS als VPN Server und FTP Server sollten da besser, da sicherer sein.
Das soll sowohl im Netzwerk intern als auch vom Internet aus funktionieren.
Für den externen Zugriff: FTP//FTP:meine.öffentliche.server.ip.de:21/20Für den internen Zugriff: 192.168.1.210:21/20
Was wäre da der richtige Lösungsansatz?
Bitte alles hier drüber lesen!Gruß
Dobbv
Damit ihr das ganze versteht: Es soll FTP sein, da das von jedem Rechner aus ohne Softwareinstallation nutzbar ist. Ich will FTP in den Explorer unter Windows mounten. Unter LInux soll auch gemountet werden. Und das Notebook wird mal extern und mal intern betrieben. Wenn ich das jetzt anweise, von name.ddns.net zu mounten, dann kann er das im internen Netz nicht.
Hallo,
Hier versteht jeder schon was du willst. Es ist aber so einfach nicht machbar. Due willst mit einen Namen (name.ddns.net) zwei unterschiedliche IPs zurückbekommen. Einmal deine interne IP wenn du dich in dein LAN/WLAN aufhälst, und einmal die Öffentliche Dymamische IP wenn du dich ausserhalb deines internen LAN/WLAN aufhälst. Dazu brauchst du dann 2 DNS. Einmal in dein LAN/WLAN was die IP für dein name.ddns.net liefert und einen öffentlichen DNS welcher dir die öffentliche dymamische IP dir zurückgibt. Für ersteres richte dir einen DNS Server in dein LAN/WLAN ein, z.b. auf einen Raspi. Wurde dir ja alles schon hier erläutert.
Gruß,
Peter
Hier versteht jeder schon was du willst. Es ist aber so einfach nicht machbar. Due willst mit einen Namen (name.ddns.net) zwei unterschiedliche IPs zurückbekommen. Einmal deine interne IP wenn du dich in dein LAN/WLAN aufhälst, und einmal die Öffentliche Dymamische IP wenn du dich ausserhalb deines internen LAN/WLAN aufhälst. Dazu brauchst du dann 2 DNS. Einmal in dein LAN/WLAN was die IP für dein name.ddns.net liefert und einen öffentlichen DNS welcher dir die öffentliche dymamische IP dir zurückgibt. Für ersteres richte dir einen DNS Server in dein LAN/WLAN ein, z.b. auf einen Raspi. Wurde dir ja alles schon hier erläutert.
Gruß,
Peter
und was war dann das mit dem ersten Post von wiesi200?
Der Router bekommt aus dem internen Netz ne Anfrage auf meine öffentliche IP und das wird dann an die internen Server weitergeleitet. Ist genau das, was ich will. Eventuell hilft das hier weiter: https://wiki.mikrotik.com/wiki/Hairpin_NAT
Der Router bekommt aus dem internen Netz ne Anfrage auf meine öffentliche IP und das wird dann an die internen Server weitergeleitet. Ist genau das, was ich will. Eventuell hilft das hier weiter: https://wiki.mikrotik.com/wiki/Hairpin_NAT
Dein Cisco hat kein Problem mit NAT Hairpinnig, IOS supportet das ohne Verrenkungen.
https://supportforums.cisco.com/t5/wan-routing-and-switching/nat-hairpin ...
http://systems-co.blogspot.de/2016/06/cisco-routers-easy-hair-pin-nat-f ...
Oder einach mal nach "cisco ios nat hairpin" googeln
https://supportforums.cisco.com/t5/wan-routing-and-switching/nat-hairpin ...
http://systems-co.blogspot.de/2016/06/cisco-routers-easy-hair-pin-nat-f ...
Oder einach mal nach "cisco ios nat hairpin" googeln
ok. Danke ich werde das heute Mittag ausprobieren
sieht das dann bei mir so aus:
Was wäre, wenn sich die IP alle 24 h ändern würde (dank dem Cisco tut sie das nicht)
Soll da das interne Netz eingetragen werden?
Ich nutze 10.0.0.0 255.255.255.0
Das muss dann bei mir auf das Dialer0 Interface - richtig?
was müssen hier für IPs eingetragen werden?
Folgendes bleibt wie gehabt.
sieht das dann bei mir so aus:
Was wäre, wenn sich die IP alle 24 h ändern würde (dank dem Cisco tut sie das nicht)
interface Loopback0
ip address externe IP von mir Maske von dieser IP
ip nat inside
ip virtual-reassembly
!
route-map PBRNAT permit 10
match ip address PBR
set interface Loopback0
! Ich nutze 10.0.0.0 255.255.255.0
ip access-list standard PBR
permit 10.0.0.0 0.255.255.255
!
route-map PBRNAT permit 10
match ip address PBR
set interface Loopback0
! ip policy route-map PBRNATwas müssen hier für IPs eingetragen werden?
ip nat pool NATPOOL 192.0.2.11 192.0.2.20 prefix-length 24ip nat inside source list PBR pool NATPOOL overloaddank dem Cisco tut sie das nicht
Da hat der Cisco herzlich wenig Einfluß drauf. Woher kommst du zu dieser "Weisheit" ?!Wenn dein Provider eine Zwangstrennung initiiert bekommst du auch an einem Cisco immer eine neue IP. Dem Provider es grad Latte was bei ihm an Endgeräten dranhängt.
Soll da das interne Netz eingetragen werden?
Wohl eher ne Host Maske mit 32 Bit.Man müsste glatt mal probieren ob der Cisco, sofern du ihn als DNS Proxy nutzt, nicht auch die lokale IP rausgibst, denn mit "ip host name x.y.z" kannst du dem Cisco Hostnamen zu IP mitgeben. Auf dem CLI kann man dann mit dem Namen arbeiten.
Ggf. übernimmt er das als Proxy DNS. Käme mal auf einen Test an.
ok. Werde ich ausprobieren. Stimmen denn die AUssagen, die ich oben gemacht habe?
Mit der Fritte gab es ne Trenung. Wenn ich den Cisco stromlos mache und dann wieder einschalte, bleibt die IP gleich.
Mit der Fritte gab es ne Trenung. Wenn ich den Cisco stromlos mache und dann wieder einschalte, bleibt die IP gleich.
Hallo,
Welche denn genau? Du hast viel gesagt...
Gruß,
Peter
Welche denn genau? Du hast viel gesagt...
Mit der Fritte gab es ne Trenung.
Und in welchem zusammenhang ist diese Trennung zu sehen?Wenn ich den Cisco stromlos mache und dann wieder einschalte, bleibt die IP gleich.
Welche der (min.) 2 IPs denn? Das ist doch ein Router oder?Gruß,
Peter
die Aussagen im Post von mir von 9:29 siehe oben. Stimmen die Annamhen von mir? Wie geht es richtig?
Die externe IP ist gleich geblieben. Die interne natürlich auch. Die Trennung hat nicht mit dem Thema NAT-Hairpinning zu tun. Wenn dort aber die externe eingetragen werden muss, muss man dan ne Variable nutzen, da ich sonst alle 24h die Config anpassen muss.
Die externe IP ist gleich geblieben. Die interne natürlich auch. Die Trennung hat nicht mit dem Thema NAT-Hairpinning zu tun. Wenn dort aber die externe eingetragen werden muss, muss man dan ne Variable nutzen, da ich sonst alle 24h die Config anpassen muss.
meine IP hat der Provider nun geändert. Wie mache ich das Loopback jetzt, wenn sich die IP regelmäßig ändert?
was muss da im Pool eingetragen werden?
was muss da im Pool eingetragen werden?
ip nat pool NATPOOL 10.0.0.20 10.0.0.30 prefix-length 24
Garnicht,
dann musst du die DNS Variante wählen.
dann musst du die DNS Variante wählen.
ich hoffe, ich ahbe diese IP dann weider für 3 Monate. Dann hält sich das in Grenzen.
Wie siehts nun mit deir Zeie aus?
ip nat pool NATPOOL 10.0.0.20 10.0.0.30 prefix-length 24
passt das soweit? Was ist ein Nat-Pool?
Wie siehts nun mit deir Zeie aus?
ip nat pool NATPOOL 10.0.0.20 10.0.0.30 prefix-length 24
passt das soweit? Was ist ein Nat-Pool?
Ein NAT Pool ist eine Anzahl von IP Adressen aus denen der Router eine Translation Adresse wählt je nach ausgehender Session.
Wird eine IP einen zeitlang nicht mehr genutzt wandert sie zurück in den Pool.
Sowas ist eigentlich Quatsch wenn man mit PAT (Overload) arbeitet auf eine einzige WAN IP.
Der NAT Configuartion Guide ist dein Freund :
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Wird eine IP einen zeitlang nicht mehr genutzt wandert sie zurück in den Pool.
Sowas ist eigentlich Quatsch wenn man mit PAT (Overload) arbeitet auf eine einzige WAN IP.
Der NAT Configuartion Guide ist dein Freund
:https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
macht dann
ip nat inside source list 101 interface Dialer0 overload
schon den Overload?
Bedeutet das, ich kann den ganzen Kram weglassen. Wenn ich ihn aber brauche, dürfen die Addressen im Pool bestimmten Geräten zueordnet sin(diese die IP haben)?
Wenn ich im interface Loopback meine IP eintarge, kommt meine IP überlappe mit Dialer0, der lgischerweise die selbe IP hat. Was ist da das problem?
ip nat inside source list 101 interface Dialer0 overload
schon den Overload?
Bedeutet das, ich kann den ganzen Kram weglassen. Wenn ich ihn aber brauche, dürfen die Addressen im Pool bestimmten Geräten zueordnet sin(diese die IP haben)?
Wenn ich im interface Loopback meine IP eintarge, kommt meine IP überlappe mit Dialer0, der lgischerweise die selbe IP hat. Was ist da das problem?
ip host <hostname> <ip> wird im DNS übernommen. Die Rechner bekommen dann die dort hinterlegte IP. Damit habe ich das jetzt mal gelöst. Loopback klappte leider nicht.
Das ist auch die eleganteste Lösung wenn der Cisco auch DNS Proxy ist.
Case closed.
Case closed.