Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NAT Cisco Router

Mitglied: cmts-user

cmts-user (Level 1) - Jetzt verbinden

12.03.2009, aktualisiert 15:08 Uhr, 4384 Aufrufe, 6 Kommentare

NAT nochmal NATten?

Kurze Frage:
Kann man NAT nochmal NATten?

Problematik:
Habe nen IPSec-Tunnel zu nem Gateway, NATte dort auf 10.0.0.0, benutze Split-Tunneling und will nun via PAT auf ein bestimmtes Interface raus ins Internet. Ich habe schon eine PAT-Liste, die auch grandios funktioniert.
Ich habe es probiert, indem ich meine NAT-access-list spontan um den 10er-Adressbreich erweitert habe, aber funktioniert hat es nicht.

Kann ich davon ausgehen, dass das nicht gewünscht ist?
Gibts nen Workaround?

Salute und Dank!
Mitglied: ITwissen
12.03.2009 um 15:54 Uhr
Kann man NAT nochmal NATten?

Ja.

Den Rest hab ich nicht verstanden.
Bitte warten ..
Mitglied: cmts-user
12.03.2009 um 16:21 Uhr
Hm..

Ein Kunde wählt sich über VPN in das Gateway (z.B.) 172.21.1.1 ein, wird auf einer 10-er Netz geNATet. SplitTunneling ist konfiguriert und somit kann er einerseits ins LAN (192.168.x.x) und ins Internet. Die Kollegen im LAN (192.168.x.x) benutzen 172.21.1.1 als Gateway, dort findet PAT statt, d.h. sie tauchen im Internet mit Source 172.21.1.1 auf. Genau das möchte ich für meine VPN-Kunden auch. Dass heisst ich muss sie von ihrem 10.-er Netz auch aufs 172.21.1.1 PATen.
Das scheint ja möglich zu sein.

Ich habe es versucht über:

ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload

ip access-list extended NAT
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.0.0.255 any
deny ip any any

route-map POLICY-NAT permit 10
match ip address NAT

interface FastEthernet0/0
ip address 172.21.1.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto


Klappt wunderbar für die LAN-Menschen (192.168.x.x), nur nicht für VPN...fehlt da noch irgendein Spezialbefehl?
Bitte warten ..
Mitglied: Dani
12.03.2009 um 18:06 Uhr
Hi,
es ist eher eine Verständisfrage...es gibt dazu kein Spezialbefehl.

Die ACL die für den Internetzugang zuständig ist, musst du den VPN IP-Bereich komplett verbieten:
01.
access-list xxx deny any xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
Danch legst du eine neue ACL an, in der du den VPN-IP-Bereich freigibst:
01.
access-list xxx deny xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any
Nun musst du definieren, dass eine RM greift:
01.
route-map VPN-Client permit 10 
02.
 match ip address 107 
03.
 set interface LAN-INTERFACE mit 172.21.1.x
Dein Ansatz war fast richtig...falls das so nicht gehen sollte, müsstest du es über ein LoopbackX-Interface versuchen.


Grüße,
Dani
Bitte warten ..
Mitglied: cmts-user
13.03.2009 um 08:18 Uhr
Also, ich habe das jetzt mit der route-map versucht und die access-list für den VPN-bereich auf deny und einmal auf permit gehabt (einfach für den Kopf :D)...ohne Erfolg.

Den scheint auch die route-map nicht wirklich zu jucken... ich habe da sicher was übersehen, ganz bestimmt. Aber danke schonmal für die Hilfe

01.
sh ip nat stat 
02.
Total active translations: 2 (0 static, 2 dynamic; 2 extended) 
03.
Peak translations: 1533, occurred 3w3d ago 
04.
Outside interfaces: 
05.
  FastEthernet0/0 
06.
Inside interfaces: 
07.
  FastEthernet0/1.1, Virtual-Template1, Virtual-Template2 
08.
Hits: 1  Misses: 0 
09.
CEF Translated packets: 1, CEF Punted packets: 0 
10.
Expired translations: 0 
11.
Dynamic mappings: 
12.
-- Inside Source 
13.
[Id: 6] route-map POLICY-NAT interface FastEthernet0/0 refcount 2 
14.
Appl doors: 0 
15.
Normal doors: 0 
16.
Queued Packets: 0
Achso, die Statistik wurde kurz vorher ge-clear-t, deswegen so übersichtliche Hits ;)

P.S.: Habe die route-map jetzt mit ins NAT gezogen - hilft nüscht...oder liegt das irgendwie lokal an dem PC/Client, der sich einwählt?
Bitte warten ..
Mitglied: Dani
13.03.2009 um 10:19 Uhr
Hi,
ich würde lieber mal die Configuration von deinem Router im Moment sehen. Das hilft mir eher weiter, wie die Statistiken...


Grüße,
Dani
Bitte warten ..
Mitglied: cmts-user
13.03.2009 um 10:23 Uhr
Gerrrne

01.
 
02.
ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload 
03.
ip nat inside source route-map VPN interface FastEthernet0/0 overload 
04.
05.
ip access-list extended NAT 
06.
 permit ip 192.168.0.0.0 0.0.255.255 any 
07.
 deny   ip any any 
08.
ip access-list extended VPN 
09.
 permit ip 10.0.0.0 0.0.0.255 any 
10.
 deny   ip any any 
11.
route-map VPN-Client permit 10 
12.
 match ip address VPN 
13.
 set interface FastEthernet0/0 
14.
15.
route-map POLICY-NAT permit 10 
16.
 match ip address NAT 
17.
 
FE outside, Virtual-Template inside
Gib Bescheid, wenn du sonst noch was brauchst...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Cisco ASA hinter Router mit NAT
gelöst Frage von maxmaxLAN, WAN, Wireless2 Kommentare

Hallo, ich habe eine Cisco ASA welche hinter einem privaten ADSL-Anschluss steht, der Anschluss terminiert auf einem Cisco 867-K9, ...

Router & Routing
Doppeltes NAT mit Cisco 851
gelöst Frage von maxmaxRouter & Routing3 Kommentare

Hallo, ich versuche gerade aus Testzwecken ein zweites NAT für einen Client zu schalten. Zurzeit ist der Aufbau folgender: ...

Router & Routing
Cisco NAT (VoiP)
gelöst Frage von Bernhard-BRouter & Routing10 Kommentare

Hallo, ich habe ein kleines Problem mit dem Betrieb eines Asterisk VoiP Servers hinter meiner Cisco Hardware. Zum Aufbau: ...

Firewall

Verständnisfrage zur NAT Konfiguration auf meinem Router

gelöst Frage von warbyrdFirewall7 Kommentare

Hallo zusammen, ich habe eine Verständnisfrage zu Portweiterleitungen auf meinem Router. Hier der Screenshot, um den es geht: Gehe ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 22 MinuteniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 14 StundenSicherheit

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server37 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Windows 10
Windows 10 (1709) Tastur und Maus wieder einschalten?
Frage von LochkartenstanzerWindows 1028 Kommentare

Moin, Ich habe von einem Kunden einen Win10-Rechner bekommen, bei dem weder Tastatur noch Maus geht. Die Hardware funktioniert ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Webbrowser
Welcher Browser ist der Beste?
Frage von justtinWebbrowser15 Kommentare

Hallo Leute Ich habe eine interessante Frage. Mich wurde mal interessieren welcher Browser ist eure meinung nach der beste? ...