Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Bintec, Cisco - NAT Port Forwarding von Innen

Frage Netzwerke Router & Routing

Mitglied: dog

dog (Level 4) - Jetzt verbinden

14.03.2009, aktualisiert 19:53 Uhr, 11511 Aufrufe, 7 Kommentare

Hallo,

ich habe unabhänig voneinander mit einem Bintec R3000 und einem Cisco 3620 das selbe Problem:

Beide benutzen DSL mit dynamischer IP.
Beide haben einen Webserver im LAN, der per NAT Port Forwarding vom WAN aus erreichbar ist.
Das funktioniert soweit.

Versuche ich aber jetzt den Webserver aus dem LAN heraus über die externe IP anzusprechen lande ich bei beiden auf der Konfigurationsseite, was absolut nicht gewollt ist.
Es scheint so als würden die beiden Router den Request automatisch umschreiben wenn sie sehen, dass die Ziel-IP gleich der externen IP des Routers ist und NAT so gar nicht mehr greifen kann.

Ich hab schon ein bisschen gegoogelt aber keine wirkliche Lösung gefunden. Alle Ansätze die ich gefunden habe basieren auf "DNS Doctoring", also dem Umschreiben des DNS-Requests für Hosts von Innen auf die IP von Innen. Das funktioniert natürlich in der Praxis nur so lange, wie alle Port Forwarding Regeln auch nur auf eine interne IP gehen.

Gibt es für die beiden genannten Router wirklich keine Lösung?

Grüße

Max
Mitglied: StefanKittel
14.03.2009 um 20:00 Uhr
Hallo,

du spricht die Geräte ja nicht über die (wechselnde) externe IP sondern den Hostnamen an.
Du könntest einene DNS-Eintrag mit diesem Namen und der internen IP hinterlegen.

Bei diesen Geräte müßte das sogar zentral im Gerät gehen.
Alternativ in der Hosts-Datei des PCs.

Also server.dyndns.org 192.168.0.25

Stefan
Bitte warten ..
Mitglied: dog
14.03.2009 um 20:04 Uhr
Hallo,

Du könntest einene DNS-Eintrag mit diesem Namen und der internen IP hinterlegen.

Das habe ich oben ja bereits angesprochen.
Ist natürlich keine Lösung sobald man Port Forwarding für verschiedene interne Hosts braucht...
Vor allem aber kann man so nicht testen ob Port Forwarding überhaupt geht, weil das Paket ja nie durch den Router geht.

Grüße

Max
Bitte warten ..
Mitglied: StefanKittel
14.03.2009 um 20:56 Uhr
Hallo,

diese LAN->WAN->LAN Geschichte funktioniert mit vielen Geräten entweder gar nicht oder "fehlerhaft". Eine andere Lösung ist mir nicht bekannt.
Schon mal beim Hersteller nachgefragt?

Stefan
Bitte warten ..
Mitglied: Dani
04.04.2009 um 01:36 Uhr
Hi Max,
du könntest bei dem Cisco 3620 über eine ACL auf dem WAN-Interface definieren, welche Anfragen ins Internet dürfen. Somit könntest du die externe IP-Adresse sperren und durch statischen NAT, diese externe IP-Adresse umsetzen auf die LAN-IP-Adresse des Webservers.
Eine andere Idee wäre, dass du auch per ACL abfrägst, ob die IP-Adresse = ext. IP-Adresse auf dem LAN-Interface "outgoing" ist Sprich sollte, das zutreffen kannst du über eine "policy-map" das Soure-Interface ändern und somit kommt wieder das NAT an sich zum Einsatz.

Schon mal beim Hersteller nachgefragt?
Schon mal bei Cisco eine Anfrage ohne entsprechenden Vertrag eröffnet?!


Grüße,
Dani
Bitte warten ..
Mitglied: dog
04.04.2009 um 15:41 Uhr
Hallo Dani,

du meinst im Sinne von:

Somit könntest du die externe IP-Adresse sperren
01.
access-list 101 deny tcp any host A.B.C.D eq 80
>durch statischen NAT, diese externe IP-Adresse umsetzen auf die LAN-IP-Adresse des Webservers
01.
ip nat outside source static tcp A.B.C.D 80 10.26.4.15 80 
?

Da wäre ja aber das Problem, dass A.B.C.D, also die externe IP-Adresse dynamisch ist.
Mir fällt jetzt nur ein dort eben dann "host site.dyndns.org" einzugeben, aber ob das so funktioniert?

Das mit den policy-maps habe ich nicht so ganz verstanden, aber ich habe auch noch nicht viel Ahnung von Cisco-Routern.

Grüße

Max
Bitte warten ..
Mitglied: Dani
06.04.2009 um 00:00 Uhr
Hi Max.
du hast Recht...mit dyn. IP-Adresse wird es schwer mit statischen NAT.

Das mit den policy-maps habe ich nicht so ganz verstanden, aber ich habe auch noch nicht viel Ahnung von Cisco-Routern.
Das ist eine längere Sache...ich würde dir ein Beispiel gerne schreiben, hab aber gerade wenig Zeit. Wie gesagt, war so eine Idee..denn wir haben ein ähnliches Konstrukt im Einsatz für spezielle VPN-Fälle.


Grüße,
Dani
Bitte warten ..
Mitglied: dog
07.10.2009 um 23:18 Uhr
Um den Thread aufzuklären:

Bei Bintec ist dies nicht möglich (Antwort des Supports)

Bei Cisco firmiert das unter Hairpin NAT und die Aussagen sind unterschiedlich.
Definitiv geht es nur bei ASAs und dort auch nur mit statischen IPs: http://nitec.biz/2009/04/06/setup-u-turn-hairpinning-on-cisco-asa/
Für IOS bleibt die von Dani angebotene Lösung:
01.
ip nat outside source static tcp A.B.C.D 80 10.26.4.15 80 
Ein anderer Ansatz in beiden Fällen ist DNS Doctoring (oder netter ausgedrückt: Split DNS)

Grüße

Max
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Router & Routing
Routing und Port Forwarding für FTP-Transfer (2)

Frage von steff911 zum Thema Router & Routing ...

Router & Routing
gelöst Cisco NAT (VoiP) (10)

Frage von Bernhard-B zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...