6
Router schickt unsere geroutete public IP zurueck zum Gateway
Router verweigert zugeordnete public IP
Ich habe folgendes Problem. Wir haben von unserm Provider eine feste statische IP erhalten, welche dem oeffentlichen Interface unseres Routers zugeordnet ist. Desweiteren wird ein Pool von insgesammt 7 IP's auf diese Puplic IP geroutet. Hier verarbeiten wir diese IP's dann, was soweit auch funktioniert. Wenn ich allerdings verusche diese IP zu pingen kommt ein "Lost in Transit".
Ein Traceroute von ausserhalb zeigt, dass der Router das Paket erhaelt aber es sofort wieder zum Gateway unseres Providers schickt. Dieses schickt es wieder zurueck und so weiter und so weiter. Wie sage ich dem Router, dass diese IP oeffentliche IP zu einem Server im LAN gehoert. Muss da unser DNS Server entsprechende Eintraege haben?
Router ist ein Cisco 1812
Gruesse
Flo
Ein Traceroute von ausserhalb zeigt, dass der Router das Paket erhaelt aber es sofort wieder zum Gateway unseres Providers schickt. Dieses schickt es wieder zurueck und so weiter und so weiter. Wie sage ich dem Router, dass diese IP oeffentliche IP zu einem Server im LAN gehoert. Muss da unser DNS Server entsprechende Eintraege haben?
Router ist ein Cisco 1812
Gruesse
Flo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 85615
Url: https://administrator.de/contentid/85615
Printed on: April 26, 2024 at 04:04 o'clock
6 Comments
Latest comment
Moin,
die öffentlichen Adressen sind doch eher Bestandteil einer DMZ, die Du auf Deinem Router einrichtest.
Gruß, Arch Stanton
die öffentlichen Adressen sind doch eher Bestandteil einer DMZ, die Du auf Deinem Router einrichtest.
Gruß, Arch Stanton
Ich habe keine DMZ eingerichtet. Eigentlich nur Router und dann Server dahinter. Generell ist hier nur NAT auf die jeweiligen Serverports gemacht.
Gruesse
Flo
Gruesse
Flo
Dann hast du den Router falsch konfiguriert !! Wenn du keine DMZ nutzt dann musst du statisches NAT machen auf dem Router mit den öffentlichen Adressen auf die Server die im lokalen Netzwerk liegen so das du eine starre, statische Beziehung zwischen einer öffentlichen und einer lokalen Adresse dahinter hast !!
Für eine POP3 Connection sähe das z.B. so aus:
ip nat inside source static tcp 172.17.1.9 110 221.85.123.10 110 extendable
wobei 221.85.123.10 die öffentliche IP ist und 172.17.1.9 die lokale IP des servers im lokalen LAN. Ohne einen Auszug aus deiner Routerkonfig ist eine Hilfe aber nicht einfach, da man nicht sehen kann (nur raten) wo du den Konfig Fehler gemacht hast...
Für eine POP3 Connection sähe das z.B. so aus:
ip nat inside source static tcp 172.17.1.9 110 221.85.123.10 110 extendable
wobei 221.85.123.10 die öffentliche IP ist und 172.17.1.9 die lokale IP des servers im lokalen LAN. Ohne einen Auszug aus deiner Routerkonfig ist eine Hilfe aber nicht einfach, da man nicht sehen kann (nur raten) wo du den Konfig Fehler gemacht hast...
Ich habe statisch NAT eingerichtet also sowohl
ip nat inside source static tcp "local IP"25 "public IP" 25 extendable
als auch noch
ip nat outside source static tcp "local IP" 25 "public IP" 25 extendable
Die Funktion selber passt doch wie gesagt, will ich die public IP pingen dann schickt unser Router das Paket zurueck zum Gateway.
Dies ist wahrscheinlich der Grund warum wir auf immer mehr Spam Listen landen. Zumindest vermute ich das
Gruesse
Flo
ip nat inside source static tcp "local IP"25 "public IP" 25 extendable
als auch noch
ip nat outside source static tcp "local IP" 25 "public IP" 25 extendable
Die Funktion selber passt doch wie gesagt, will ich die public IP pingen dann schickt unser Router das Paket zurueck zum Gateway.
Dies ist wahrscheinlich der Grund warum wir auf immer mehr Spam Listen landen. Zumindest vermute ich das
Gruesse
Flo
Das ist ja auch ganz klar und logisch warum dem so ist...
Du hast ja auch vermutlich nicht ICMP in die NAT ACL eingetragen, sondern nur TCP bzw. die entspr. Ports.
Damit wird ICMP dann auch natürlich nicht geNATet. (Ping ist wie du weisst ICMP Typ 0 und Typ 8 Packete). Folglich kannst du dein NAT IP auch nicht pingen, was ja mehr oder weniger auch nicht schlecht ist um Ping of Death und andere DoS Attacken auf dein Mailhost zu vermeiden !!!
Du hast ja auch vermutlich nicht ICMP in die NAT ACL eingetragen, sondern nur TCP bzw. die entspr. Ports.
Damit wird ICMP dann auch natürlich nicht geNATet. (Ping ist wie du weisst ICMP Typ 0 und Typ 8 Packete). Folglich kannst du dein NAT IP auch nicht pingen, was ja mehr oder weniger auch nicht schlecht ist um Ping of Death und andere DoS Attacken auf dein Mailhost zu vermeiden !!!
Habe dir gerade privat geschrieben. Ich bin der mit der verkorksten Konfig 
Gruesse
Flo
Gruesse
Flo
