Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Wie funktioniert DNAT mit einem Cisco 1841

Frage Netzwerke Router & Routing

Mitglied: Garibaldi69

Garibaldi69 (Level 1) - Jetzt verbinden

17.03.2014, aktualisiert 21.03.2014, 1449 Aufrufe, 4 Kommentare, 1 Danke

Hallo zusammen.

Ich habe ein Problem mit der Konfiguration von NAT. Mein Problem sieht so aus:

System A System B
x.x.x.x/x (nicht 192.168.1.x) x.x.x.x/x (nicht 192.168.1.x)
| |
| |
|
Router A (Cisco 1841)
Inside: x.x.x.x/x
Outside: 192.168.1.100/24
|
|
|
Intranet
|
|
|
Router B (Cisco 1841)
Outside: 172.1.1.100/24
Inside: y.y.y.y/y
|
|
|
SystemC
10.0.3.100/24


Hinter den Systemen A -C stecken kleine Netzwerke bzw. sehr spezielle Hardware. Die Router A und B bauen untereinander einen Tunnel mit GRE auf. Die Verbindungen als solche funktionieren. Ping ist also grundsätzlich kein Problem. Das große Problem stellt System C dar. Ich muss sowohl von System A als auch System B auf System C Port 1024 zugreifen. Für System C muss dieser Zugriff aber absolut zwingend (!) von den IPs 10.0.3.101 und 10.0.3.102 kommen. Die beiden Router sind vollständig unter meiner "Konfigurationsgewalt". Lediglich die IP Adressen in Richtung outside sind fest vorgegeben. Die IP Adressen von System A und B kann ich ebenfalls frei wählen. Mit den Einschränkungen, dass sie nicht im selben Subnet liegen und 192.168.1.x nicht genommen werden darf.

Wie lässt sich das realisieren? Mein Wissen/Verständnis von NAT reicht leider nicht aus, um aus anderen Beiträgen hier im Forum eine funktionierende Config zu bauen.
Ideal wäre, wenn sich das mit den Cisco 1841 machen ließe. Destination NAT ist mit diesen Routern aber scheinbar nicht möglich. Sollte das tatsächlich so sein, mit welchen (Marken-) Routern geht das?

Danke für Eure Antworten.


Mitglied: dog
18.03.2014, aktualisiert 21.03.2014
Destination NAT ist mit diesen Routern aber scheinbar nicht möglich.

Du willst Source NAT:
Für System C muss dieser Zugriff aber absolut zwingend (!) von den IPs 10.0.3.101 und 10.0.3.102 kommen.

Die Regel kommt auf Router B und sollte etwa so aussehen:
01.
ip nat outside source static 192.168.1.101 10.0.3.101
Ich habe grade keinen Router zum Testen, aber folgende Probleme sind möglich:
  • Der Router macht kein Proxy-ARP und die Antwort kommt nicht zurück. In dem Fall musst du ihm die 10.0.3.101 als secondary IP vergeben und noch eine DNAT-Regel erstellen
  • Die Antwort kommt zwar zum Router, aber der macht keine Rückübersetzung. In dem Fall musst du noch die umgekehrte Regel erstellen:
ip nat outside source static 10.0.3.101 192.168.1.101
  • Evtl. musst du die add-route option an die Regel anfügen, weil das Antwort-Paket sonst verworfen wird

(Die Befehle sind nicht wirklich intuitiv, aber müssen so. Siehe http://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ... Tabelle am Ende).
Bitte warten ..
Mitglied: Garibaldi69
20.03.2014 um 12:26 Uhr
* Der Router macht kein Proxy-ARP und die Antwort kommt nicht zurück. In dem Fall musst du ihm die 10.0.3.101 als secondary
IP vergeben und noch eine DNAT-Regel erstellen

Genau das ist ja meine Frage: Wie erstelle ich eine DNAT-Regel?

* Die Antwort kommt zwar zum Router, aber der macht keine Rückübersetzung. In dem Fall musst du noch die umgekehrte
Regel erstellen:
> ip nat outside source static 10.0.3.101 192.168.1.101
  • Evtl. musst du die add-route option an die Regel anfügen, weil das Antwort-Paket sonst verworfen wird

Das hat was gebracht! Damit kommen die Pakte tatsächlich wieder zurück. Für das System C funktioniert das jetzt alles.

Ich habe allerdings das Problem etwas zu einfach dargestellt. System A und B sind in der Realität lediglich zwei Netzwerkkarten ein und des selben Systems. Damit wird das Routing kompliziert. Ich benötige also zwingend zwei Zieladressen, da sonst immer über eine NIC die Verbindung aufgebaut wird.
Das klingt alles etwas seltsam, muss aber leider so sein.
Bitte warten ..
Mitglied: dog
20.03.2014, aktualisiert um 15:41 Uhr
Also ich habe mir den Post nochmal durchgelesen...und wozu brauchst du überhaupt NAT?
Du willst doch einfach nur die Systeme A,B,C in ein virtuelles, gemeinsames Netzwerk bekommen?
Mit GRE hast du schon die notwendige Verbindung. Bridge den Tunnel einfach auf beiden Seiten mit dem Inside-Interface und gib A und B dann die richtigen IPs.

z.B.:
http://www.cisco.com/c/en/us/support/docs/ip/layer-two-tunnel-protocol- ...
Bitte warten ..
Mitglied: Garibaldi69
20.03.2014 um 16:05 Uhr
Du willst doch einfach nur die Systeme A,B,C in ein virtuelles, gemeinsames Netzwerk bekommen?

Nicht ganz, A und B dürfen auf keinem Fall in einem gemeinsamen Netzwerk liegen. Es handelt sich dabei, wie oben beschrieben, um zwei verschiedene Netzwerkkarten des gleichen Rechners.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(1)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Linux
LTSP: PXE Boot funktioniert nicht (16)

Frage von Fenris14 zum Thema Linux ...

Virtualisierung
Drucker aus einer VM heraus funktioniert nicht (5)

Frage von NCCTech zum Thema Virtualisierung ...

LAN, WAN, Wireless
gelöst Netzwerk funktioniert nur in eine Richtung mit Gigabit (28)

Frage von DrChiwago zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (13)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Windows Server
Mailserver auf Windows Server 2012 (9)

Frage von StefanT81 zum Thema Windows Server ...