Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Router & Routing

GELÖST

Wie funktioniert DNAT mit einem Cisco 1841

Mitglied: Garibaldi69

Garibaldi69 (Level 1) - Jetzt verbinden

17.03.2014, aktualisiert 21.03.2014, 1483 Aufrufe, 4 Kommentare, 1 Danke

Hallo zusammen.

Ich habe ein Problem mit der Konfiguration von NAT. Mein Problem sieht so aus:

System A System B
x.x.x.x/x (nicht 192.168.1.x) x.x.x.x/x (nicht 192.168.1.x)
| |
| |
|
Router A (Cisco 1841)
Inside: x.x.x.x/x
Outside: 192.168.1.100/24
|
|
|
Intranet
|
|
|
Router B (Cisco 1841)
Outside: 172.1.1.100/24
Inside: y.y.y.y/y
|
|
|
SystemC
10.0.3.100/24


Hinter den Systemen A -C stecken kleine Netzwerke bzw. sehr spezielle Hardware. Die Router A und B bauen untereinander einen Tunnel mit GRE auf. Die Verbindungen als solche funktionieren. Ping ist also grundsätzlich kein Problem. Das große Problem stellt System C dar. Ich muss sowohl von System A als auch System B auf System C Port 1024 zugreifen. Für System C muss dieser Zugriff aber absolut zwingend (!) von den IPs 10.0.3.101 und 10.0.3.102 kommen. Die beiden Router sind vollständig unter meiner "Konfigurationsgewalt". Lediglich die IP Adressen in Richtung outside sind fest vorgegeben. Die IP Adressen von System A und B kann ich ebenfalls frei wählen. Mit den Einschränkungen, dass sie nicht im selben Subnet liegen und 192.168.1.x nicht genommen werden darf.

Wie lässt sich das realisieren? Mein Wissen/Verständnis von NAT reicht leider nicht aus, um aus anderen Beiträgen hier im Forum eine funktionierende Config zu bauen.
Ideal wäre, wenn sich das mit den Cisco 1841 machen ließe. Destination NAT ist mit diesen Routern aber scheinbar nicht möglich. Sollte das tatsächlich so sein, mit welchen (Marken-) Routern geht das?

Danke für Eure Antworten.


Mitglied: dog
18.03.2014, aktualisiert 21.03.2014
Destination NAT ist mit diesen Routern aber scheinbar nicht möglich.

Du willst Source NAT:
Für System C muss dieser Zugriff aber absolut zwingend (!) von den IPs 10.0.3.101 und 10.0.3.102 kommen.

Die Regel kommt auf Router B und sollte etwa so aussehen:
01.
ip nat outside source static 192.168.1.101 10.0.3.101
Ich habe grade keinen Router zum Testen, aber folgende Probleme sind möglich:
  • Der Router macht kein Proxy-ARP und die Antwort kommt nicht zurück. In dem Fall musst du ihm die 10.0.3.101 als secondary IP vergeben und noch eine DNAT-Regel erstellen
  • Die Antwort kommt zwar zum Router, aber der macht keine Rückübersetzung. In dem Fall musst du noch die umgekehrte Regel erstellen:
ip nat outside source static 10.0.3.101 192.168.1.101
  • Evtl. musst du die add-route option an die Regel anfügen, weil das Antwort-Paket sonst verworfen wird

(Die Befehle sind nicht wirklich intuitiv, aber müssen so. Siehe http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ... Tabelle am Ende).
Bitte warten ..
Mitglied: Garibaldi69
20.03.2014 um 12:26 Uhr
* Der Router macht kein Proxy-ARP und die Antwort kommt nicht zurück. In dem Fall musst du ihm die 10.0.3.101 als secondary
IP vergeben und noch eine DNAT-Regel erstellen

Genau das ist ja meine Frage: Wie erstelle ich eine DNAT-Regel?

* Die Antwort kommt zwar zum Router, aber der macht keine Rückübersetzung. In dem Fall musst du noch die umgekehrte
Regel erstellen:
> ip nat outside source static 10.0.3.101 192.168.1.101
  • Evtl. musst du die add-route option an die Regel anfügen, weil das Antwort-Paket sonst verworfen wird

Das hat was gebracht! Damit kommen die Pakte tatsächlich wieder zurück. Für das System C funktioniert das jetzt alles.

Ich habe allerdings das Problem etwas zu einfach dargestellt. System A und B sind in der Realität lediglich zwei Netzwerkkarten ein und des selben Systems. Damit wird das Routing kompliziert. Ich benötige also zwingend zwei Zieladressen, da sonst immer über eine NIC die Verbindung aufgebaut wird.
Das klingt alles etwas seltsam, muss aber leider so sein.
Bitte warten ..
Mitglied: dog
20.03.2014, aktualisiert um 15:41 Uhr
Also ich habe mir den Post nochmal durchgelesen...und wozu brauchst du überhaupt NAT?
Du willst doch einfach nur die Systeme A,B,C in ein virtuelles, gemeinsames Netzwerk bekommen?
Mit GRE hast du schon die notwendige Verbindung. Bridge den Tunnel einfach auf beiden Seiten mit dem Inside-Interface und gib A und B dann die richtigen IPs.

z.B.:
http://www.cisco.com/c/en/us/support/docs/ip/layer-two-tunnel-protocol- ...
Bitte warten ..
Mitglied: Garibaldi69
20.03.2014 um 16:05 Uhr
Du willst doch einfach nur die Systeme A,B,C in ein virtuelles, gemeinsames Netzwerk bekommen?

Nicht ganz, A und B dürfen auf keinem Fall in einem gemeinsamen Netzwerk liegen. Es handelt sich dabei, wie oben beschrieben, um zwei verschiedene Netzwerkkarten des gleichen Rechners.
Bitte warten ..
Ähnliche Inhalte
Sonstige Systeme
Cisco 1841, dhcp Client keine Adresse
gelöst Frage von rudeboySonstige Systeme33 Kommentare

Mahlzeit! Habe einen Cisco-Router 1841 zum "spielen" bekommen. Erste "Aufgabe" war das secret zurückzusetzen, aber da gibt es ja ...

Router & Routing
DNAT unter Windows 10 realisieren
Frage von berndschroedRouter & Routing27 Kommentare

Hallo! Ich hatte schon eine ähnliche Frage gestellt bei der es allerdings nicht zu einer befriedigenden Lösung gekommen ist. ...

Firewall
DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung
Frage von SachellenFirewall11 Kommentare

Guten Morgen liebe Mitglieder, ich hoffe, ihr hattet alle schöne Weihnachten :)) Ich benötige bitte nur noch ganz kurze ...

Windows 8
Vodafone UMTS-LTE und Cisco VPN funktioniert nicht korrekt
gelöst Frage von killtecWindows 811 Kommentare

Hallo zusammen, ich habe ein Windows 8.1 pro mit einem Cisco VPN Client. Wenn ich mich via WLAN oder ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...