Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SNAT und DNAT auf einer CISCO

Frage Netzwerke Router & Routing

Mitglied: Manfred15

Manfred15 (Level 1) - Jetzt verbinden

13.12.2013 um 08:18 Uhr, 2195 Aufrufe, 5 Kommentare, 1 Danke

Hallo,
habe ein Verständnisproblem mit den Konfigurationen auf einer CISCO, eventuell kann mir jemand weiterhelfen. Ich habe die Frage gestern schon etwas umständlicher formuliert, aber eigentlich ist die Aufgabe relativ einfach:

Ich benötige ein

SNAT für eine Kommunikation nach Extern von einem speziellen Host

und ein

DNAT bzw. Forwarding für eine Kommunikation nach Intern zu einem anderen speziellen Host

Dies wird deshalb so gebraucht, damit wir flexibel intern die IPs wechseln können und für den Partner immer gleiche IPs zur Verfügung stehen.

Irgendwie wird dies doch sicherlich über ip nat inside source static oder dergleichen gehen, aber welcher Aufruf ist für diese beiden Fälle notwendig? Ein Wechsel von Ports ist nicht nötig. Die Ports bleiben bei der Kommunikation unberührt.
Mitglied: aqui
13.12.2013, aktualisiert um 11:21 Uhr
Eigentlich ist das kinderleicht möglich. Das Kommando wie z.B.:
ip nat inside source static 172.16.1.200 212.1.47.23
Setzt z.B. statisch die interne IP 172.16.1.212 auf die externe um die an 2ter Stelle steht.
Frage ist was du genau erreichen willst, da ist deine Beschreibung oben etwas diffus.
Ansonsten hilft die wie immer die eigentlich gute NAT Doku auf der Herstellerseite:
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...

Was aus deinem Doppelpost unten völlig unverständlich ist ist die Aussage: "...intern werden die beiden Server auf x.y.z.10 zusammengefasst"
Was ist damit IP bzw. Netzwerk technisch genau gemeint ?? Normalerweise ist das Unsinn, es sei denn diese Server arbeiten in einem Cluster oder mit einem Load Balancer und mit einer virtuellen IP die beide sharen oder über den LB sharen, dann würde so eine Aussage Sinn machen.
Allerdings erreicht man beide Server dann auch mit dieser einzigen VIP und müsste auch nur DIE NATen und nicht 2 Adressen. Wie gesagt…etwas diffus und konfus das ganze ?!
Bitte warten ..
Mitglied: Manfred15
13.12.2013 um 13:59 Uhr
Hi AQUI,

sorry für den Doppelpost, ich dachte ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen.

Also, wir haben momentan zwei Server, die für eine gehostete Anwendung bei einem Partner verschiedene Dienste ausführen.
Server 1 öffnet nur aktiv eine Verbindung zum Partnernetz auf Port 23. Server 1 hat selbst keine Dienste, die auf irgendwelche Anfragen horchen / warten.
Server 2 kommuniziert NICHT aktiv sondern wartet nur auf Anfragen vom Partnernetz und beantwortet / quittiert diese.

Um unser Netz abzusichern ist zwischen diesen beiden Netzen ein Router aufgestellt, der eine komplette IP-Übersetzung von unseren IPs der beiden Server auf die IPs durchführt, die beim Partner lizensiert sind. Nun aber sollen beide Dienste auf dem neueren Server 1 zusammengefasst werden und der alte Server 2 irgendwann entfallen sobald alles einwandfrei läuft. Natürlich könnten wir nun einfach die lizensierten IPs beim Partner ändern lassen damit er auch nur mit einer IP spricht. Da die Programme vom ihm aber nicht sonderlich stabil gewesen sind (in der Vergangenheit) und der Wechsel der IPs nicht immer auf Zuruf funktionierte möchten wir gerne die beiden IPs aus Sicht des Partners beibehalten und das Routing auf der CISCO entsprechend flexibel gestalten können. Also wenn es uns in den Sinn kommt, auch die beiden Dienste auf unterschiedlichen Servern installieren.

Bei einer ASTARO, mit der ich mich besser auskenne, hätte ich zwei NAT-Regel in der Appliance definiert.

Für Server 1 ein SNAT für Port 23 und das Partnernetz damit die interne Source-IP auf die beim Partner lizensierte äußere IP umgeschrieben wird.
Für Server 2 ein DNAT für den Port vom Partnernetz damit die beim Partner lizensierte Destination-IP auf die interne IP umgeschrieben wird.

Ich hoffe, dass es nun etwas verständlicher rüber gekommen ist.
Bitte warten ..
Mitglied: aqui
13.12.2013, aktualisiert um 14:49 Uhr
.. ."ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen."
Generell ja, aber dann den alten Post bitte löschen.

OK, was dein NAT anbetrifft kannst du das beim Cisco ähnlich lösen. Du musst das NAT Statement dann auf den Port erweitern ala
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
ist dann z.B. das Kommando (hier im Beispiel Port TCP 80). Dann rennt der NAT Prozess nur für diesen Port. Entsprechend kann man das für weitere Ports dann auch machen.
Das obige Kommando macht ein generelle NAT, also alles was von der IP x kommt wird auf die IP y umgesetzt. Mit dem Port spezifischen Kommando wird das dann eben nur auf TCP 80 oder wie bei dir TCP 23 eingegrenzt.
Damit sollte sich die Anforderung von dir dann leicht lösen lassen.
Ggf. wäre nochmal eine Skizze hilfreich wie das neue Szenario dann aussehen soll. Generell ist es ja völlig irrelevant ob Cisco, Astaro oder was auch immer dazwischen ist, denn die NAT Regeln zur Lösung sind ja immer gleich, egal welcher Hersteller.
Man muss sie lediglich in die richtige Syntax giessen.
Bitte warten ..
Mitglied: Manfred15
03.01.2014 um 10:51 Uhr
Hallo zusammen,

nun sind zwei Wochen Winterferien um und ich komme wieder dazu, mich mit dem Problem zu beschäftigen.
Teil 1 läuft auch soweit, also die DNAT-Geschichte ist nun von einem allgemeinen

ip nat inside source static IP-intern IP-extern

zu

ip nat inside source static tcp IP-intern 4711 IP-extern 4711 extendable

geändert worden und läuft seit Mitte Dezember.

Aber der Telnet-Aufruf, der aktiv von innen getätigt wird bekommt keinen Kontakt wenn ich auch hier

ip nat inside source static tcp IP-intern-2 23 IP-extern-2 23 extendable

eintrage. Und die Hotline vom System sagt, dass definitiv NUR Port 23 zum Einsatz kommt. Das wiederum kann ich nur glauben oder muss mir mal ein Laborsystem hinstellen und dann die Kommunikation überprüfen. Kann eventuell bei meiner Überlegung etwas falsch sein? Port 4711 und Port 23 sind ja jeweils die Destination-Ports. Muss der Aufruf eventuell noch anders erfolgen?
Bitte warten ..
Mitglied: aqui
03.01.2014 um 10:58 Uhr
Nein, deine Konfig ist absolut richtig so.
Hast du mal den NAT Debugger auf dem Cisco eingeschaltet (debug xyz) und dir mal angesehen was mit dem Telnet Packet passiert ??
Sinnvoll wäre auch mal mit dem Wireshark hinter dem NAT Port zu sehen ob da was TCP 23 mäßiges ankommt, was der Fall sein sollte !
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Voice over IP
Cisco 2600xm SIP Trunk autentifizieren

Frage von Herbrich19 zum Thema Voice over IP ...

LAN, WAN, Wireless
gelöst Cisco Aironet Radio-Settings (6)

Frage von swisstom zum Thema LAN, WAN, Wireless ...

SAN, NAS, DAS
gelöst Cisco LAG-LACP an Synology RS3614xs+ Bonding Bandbreite zu niedrig (20)

Frage von Ex0r2k16 zum Thema SAN, NAS, DAS ...

LAN, WAN, Wireless
Cisco AccessPoint 1131 - Status LED Red Radio LED blinkt rot (9)

Frage von 1x1speed zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...