ef8619
Goto Top

NAT Regel funktioniert im Cisco PT, aber nicht im Router

Hallo,

ich muss auf unserem Router (1921 ISR G2) ein NAT-Forwarding einrichten, das es ermöglicht auf einen Webserver mittels Port 80 von Außen zuzugreifen.

Habe das Szenario testweise im Cisco PT nachgebaut und die Regeln eingetragen:

interface GigabitEthernet0/0
description LAN Interface
 ip address 10.80.1.254 255.255.255.0
 ip nat inside
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
description WAN Interface
 ip address 192.168.0.2 255.255.255.0
 ip nat outside
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
ip nat pool NAT_POOL 192.168.0.2 192.168.0.2 netmask 255.255.255.0
ip nat inside source list 10 pool NAT_POOL overload
ip nat inside source static tcp 10.80.1.250 80 192.168.0.2 80 
ip classless

Hier kann ich mit einem PTLaptop über einen 2. Router einen Webserver mit der Adresse 10.80.1.250 erreichen.

Das Gleiche habe ich nun auf unserem Router eigetragen. Wir haben dort auch keine weiteren NAT-Regeln konfiguriert:

interface GigabitEthernet0/0
 description Lokales LAN
 ip address 10.80.1.254 255.255.255.0
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1452
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 description VDSL Internet Verbindung
 ip address dhcp
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip unnumbered GigabitEthernet0/0
 peer default ip address pool PPTP
 no keepalive
 ppp encrypt mppe 128 required
 ppp authentication ms-chap-v2
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat pool NAT_POOL <unsere Public IP> <unsere Public IP> netmask 255.255.255.0
ip nat inside source list 10 pool NAT_POOL overload
ip nat inside source static tcp 10.80.1.250 80 <unsere Public IP> 80 
!
access-list 101 permit ip 10.80.1.0 0.0.0.255 any

Allerdings funktioniert es hier nicht.

Weiß vielleicht jemand Rat?

Content-Key: 225223

Url: https://administrator.de/contentid/225223

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: 108012
108012 23.12.2013 um 18:38:44 Uhr
Goto Top
Hallo,

ich würde eine DMZ einrichten und in diese dann den Server stellen.
Danach kann man dann ein so genanntes Port forwarding einrichten.

YouTube Port forwarding

Anleitung Cisco NAT Port forwarding

Oder warten bis der @aqui hier vorbei schlittert der kann Dir sicher auch gleich helfen.

Gruß
Dobby
Mitglied: aqui
aqui 24.12.2013 um 14:29:42 Uhr
Goto Top
Der Knackpunkt ist der Pool bzw. die Pool Adress Range !!
Du musst sicherstellen das die IP der festen statischen NAT Zuweisung NICHT gleichzeitig mit im NAT Pool ist !
Diese muss davon ausgenommen werden und nur für das statische NAT verwendet bzw. reserviert sein.
Damit funktioniert es fehlerfrei.
Die Kombination des Pool mit dem Overload Statement ist so oder so ziemlich unglücklich in der Konfig und auch kontraproduktiv, denn das "overload" ist ja gerade ein PAT (Port Address Translation). Hier wird NAT über eine einzige feste IP gemacht. Ein Pool ist dabei eigentlich überflüssig und sollte man besser so nicht konfigurieren, da auch nicht verwendet.
Eine grundlegende Konfig (allerdings ohne das statische NAT) kannst du z.B. hier sehen.