Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NAT Cisco Router

Frage Netzwerke Router & Routing

Mitglied: cmts-user

cmts-user (Level 1) - Jetzt verbinden

12.03.2009, aktualisiert 15:08 Uhr, 4379 Aufrufe, 6 Kommentare

NAT nochmal NATten?

Kurze Frage:
Kann man NAT nochmal NATten?

Problematik:
Habe nen IPSec-Tunnel zu nem Gateway, NATte dort auf 10.0.0.0, benutze Split-Tunneling und will nun via PAT auf ein bestimmtes Interface raus ins Internet. Ich habe schon eine PAT-Liste, die auch grandios funktioniert.
Ich habe es probiert, indem ich meine NAT-access-list spontan um den 10er-Adressbreich erweitert habe, aber funktioniert hat es nicht.

Kann ich davon ausgehen, dass das nicht gewünscht ist?
Gibts nen Workaround?

Salute und Dank!
Mitglied: ITwissen
12.03.2009 um 15:54 Uhr
Kann man NAT nochmal NATten?

Ja.

Den Rest hab ich nicht verstanden.
Bitte warten ..
Mitglied: cmts-user
12.03.2009 um 16:21 Uhr
Hm..

Ein Kunde wählt sich über VPN in das Gateway (z.B.) 172.21.1.1 ein, wird auf einer 10-er Netz geNATet. SplitTunneling ist konfiguriert und somit kann er einerseits ins LAN (192.168.x.x) und ins Internet. Die Kollegen im LAN (192.168.x.x) benutzen 172.21.1.1 als Gateway, dort findet PAT statt, d.h. sie tauchen im Internet mit Source 172.21.1.1 auf. Genau das möchte ich für meine VPN-Kunden auch. Dass heisst ich muss sie von ihrem 10.-er Netz auch aufs 172.21.1.1 PATen.
Das scheint ja möglich zu sein.

Ich habe es versucht über:

ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload

ip access-list extended NAT
permit ip 192.168.0.0 0.0.255.255 any
permit ip 10.0.0.0 0.0.0.255 any
deny ip any any

route-map POLICY-NAT permit 10
match ip address NAT

interface FastEthernet0/0
ip address 172.21.1.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto


Klappt wunderbar für die LAN-Menschen (192.168.x.x), nur nicht für VPN...fehlt da noch irgendein Spezialbefehl?
Bitte warten ..
Mitglied: Dani
12.03.2009 um 18:06 Uhr
Hi,
es ist eher eine Verständisfrage...es gibt dazu kein Spezialbefehl.

Die ACL die für den Internetzugang zuständig ist, musst du den VPN IP-Bereich komplett verbieten:
01.
access-list xxx deny any xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
Danch legst du eine neue ACL an, in der du den VPN-IP-Bereich freigibst:
01.
access-list xxx deny xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy any
Nun musst du definieren, dass eine RM greift:
01.
route-map VPN-Client permit 10 
02.
 match ip address 107 
03.
 set interface LAN-INTERFACE mit 172.21.1.x
Dein Ansatz war fast richtig...falls das so nicht gehen sollte, müsstest du es über ein LoopbackX-Interface versuchen.


Grüße,
Dani
Bitte warten ..
Mitglied: cmts-user
13.03.2009 um 08:18 Uhr
Also, ich habe das jetzt mit der route-map versucht und die access-list für den VPN-bereich auf deny und einmal auf permit gehabt (einfach für den Kopf :D)...ohne Erfolg.

Den scheint auch die route-map nicht wirklich zu jucken... ich habe da sicher was übersehen, ganz bestimmt. Aber danke schonmal für die Hilfe

01.
sh ip nat stat 
02.
Total active translations: 2 (0 static, 2 dynamic; 2 extended) 
03.
Peak translations: 1533, occurred 3w3d ago 
04.
Outside interfaces: 
05.
  FastEthernet0/0 
06.
Inside interfaces: 
07.
  FastEthernet0/1.1, Virtual-Template1, Virtual-Template2 
08.
Hits: 1  Misses: 0 
09.
CEF Translated packets: 1, CEF Punted packets: 0 
10.
Expired translations: 0 
11.
Dynamic mappings: 
12.
-- Inside Source 
13.
[Id: 6] route-map POLICY-NAT interface FastEthernet0/0 refcount 2 
14.
Appl doors: 0 
15.
Normal doors: 0 
16.
Queued Packets: 0
Achso, die Statistik wurde kurz vorher ge-clear-t, deswegen so übersichtliche Hits ;)

P.S.: Habe die route-map jetzt mit ins NAT gezogen - hilft nüscht...oder liegt das irgendwie lokal an dem PC/Client, der sich einwählt?
Bitte warten ..
Mitglied: Dani
13.03.2009 um 10:19 Uhr
Hi,
ich würde lieber mal die Configuration von deinem Router im Moment sehen. Das hilft mir eher weiter, wie die Statistiken...


Grüße,
Dani
Bitte warten ..
Mitglied: cmts-user
13.03.2009 um 10:23 Uhr
Gerrrne

01.
 
02.
ip nat inside source route-map POLICY-NAT interface FastEthernet0/0 overload 
03.
ip nat inside source route-map VPN interface FastEthernet0/0 overload 
04.
05.
ip access-list extended NAT 
06.
 permit ip 192.168.0.0.0 0.0.255.255 any 
07.
 deny   ip any any 
08.
ip access-list extended VPN 
09.
 permit ip 10.0.0.0 0.0.0.255 any 
10.
 deny   ip any any 
11.
route-map VPN-Client permit 10 
12.
 match ip address VPN 
13.
 set interface FastEthernet0/0 
14.
15.
route-map POLICY-NAT permit 10 
16.
 match ip address NAT 
17.
 
FE outside, Virtual-Template inside
Gib Bescheid, wenn du sonst noch was brauchst...
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Lancom Router NAT
Beitrag von 7 Kommentare

Frage von Brian85 zum Thema Router & Routing

LAN, WAN, Wireless
Fritz Box als Telefonanlage an Cisco Router
Beitrag von 5 Kommentare

Frage von DaHuber zum Thema LAN, WAN, Wireless

Router & Routing
Cisco 888E Router-WAN Interface
Beitrag von 6 Kommentare

Frage von AMD9558 zum Thema Router & Routing

LAN, WAN, Wireless
Aus Cisco Router ausgespeert
Beitrag von 13 Kommentare

Frage von Herbrich19 zum Thema LAN, WAN, Wireless

Neue Wissensbeiträge
MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Beitrag von 4 Kommentare

Anleitung von colinardo zum Thema MikroTik RouterOS

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Beitrag von

Information von BassFishFox zum Thema Sicherheit

Administrator.de Feedback

Entwicklertagebuch: Die Startseite wurde überarbeitet

Beitrag von 5 Kommentare

Information von admtech zum Thema Administrator.de Feedback

Vmware

VMware Desktopprodukte sind verwundbar

Beitrag von

Information von Penny.Cilin zum Thema Vmware

Heiß diskutierte Inhalte
Visual Studio
Vb.net-Tool zum Erzeugen einer Outlook-E-Mail
Beitrag von 24 Kommentare

Frage von ahstax zum Thema Visual Studio

Windows Server
RDP macht Server schneller???
Beitrag von 16 Kommentare

Frage von JaniDJ zum Thema Windows Server

Windows Netzwerk
Netzwerk Neustrukturierung
Beitrag von 16 Kommentare

Frage von IT-Dreamer zum Thema Windows Netzwerk

Windows 10
Windows 10 dunkler Bildschirm nach Umfallen
Beitrag von 15 Kommentare

Frage von Akcent zum Thema Windows 10