5
Statisch NAT mit Cisco1812 funktioniert nicht
Traceroute macht Schleife zwischen öffentlichen Router Interface und Gateway
Ich habe einen Cisco 1812 der mittels statischer IP mit unserem Provider verbunden ist. Unser Interface und das Gateway unseres Providers befinden sich im selben Subnetz, FE0 = x.x.x.18
und Gateway x.x.x.17.
Nun habe ich auf die x.x.x.18 sieben IP-Adressen aus einem anderen Netz geroutet. Eine davon wollte ich nun verwenden und sie auf einen internen Server umleiten. Also habe ich mittels "ip nat inside" diese IP auf meinen Server weitergeleitet. Leider ohne Erfolg. Wenn ich eine Tracertoute auf diese IP mache, bekomme ich eine Schleife. Das Paket springt dauerhaft zwischen FE0 und Gateway hin und her bis die 30 Abschnitte erreicht sind.
Mein Router schickt also die Pakete wieder zum Gateway da er wohl keine Ahnung hat was er mit dieser Anfrage anfangen soll.
Für Hilfe wäre ich sehr dankbar
Flohsch
und Gateway x.x.x.17.
Nun habe ich auf die x.x.x.18 sieben IP-Adressen aus einem anderen Netz geroutet. Eine davon wollte ich nun verwenden und sie auf einen internen Server umleiten. Also habe ich mittels "ip nat inside" diese IP auf meinen Server weitergeleitet. Leider ohne Erfolg. Wenn ich eine Tracertoute auf diese IP mache, bekomme ich eine Schleife. Das Paket springt dauerhaft zwischen FE0 und Gateway hin und her bis die 30 Abschnitte erreicht sind.
Mein Router schickt also die Pakete wieder zum Gateway da er wohl keine Ahnung hat was er mit dieser Anfrage anfangen soll.
Für Hilfe wäre ich sehr dankbar
Flohsch
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 75038
Url: https://administrator.de/contentid/75038
Printed on: April 25, 2024 at 06:04 o'clock
5 Comments
Latest comment
Du musst eine dieser Adressen ja statisch einer internen zuordnen denn das ist ja vermutlich das was du willst, was gemeinhin unter Virtual host verstanden willst....
Das globale Kommando heisst dann ip nat inside source static <lokale ip> <externe ip>
Oder meinst du ein Port Adress translation so wie es gemeinhin DSL Router machen ??
Das globale Kommando heisst dann ip nat inside source static <lokale ip> <externe ip>
Oder meinst du ein Port Adress translation so wie es gemeinhin DSL Router machen ??
ja genau da habe ich gemacht.
ip nat inside source static 192.168.0.231 <öffenliche IP>
Muss ich dann auch noch was in der inbound ACL des FE0 ändern?
Grüße
ip nat inside source static 192.168.0.231 <öffenliche IP>
Muss ich dann auch noch was in der inbound ACL des FE0 ändern?
Grüße
Nein, eigentlich nicht sofern diese ACL dir die IP nicht irgendwie filtert. Ggf. müsstest du mal anonymisiert die Config hier posten...
Ja es war tatsaechlich die IP gesperrt. Mit meiner Konfig bin ich eh nicht so ganz happy, vielleicht poste ich die mal und jeder kann sie dann auseinandernehemen. Funktion ist jedenfalls mittlerweile da.
Nun wuerde mich interssieren was denn der eingentliche Unterschied ist zwischen
ip nat inside source static 192.168.0.231 x.x.x.x und
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
Generell doch nur, dass ich nur den Port von einer IP auf die Andere uebersetze oder?
Merkwuerdig ist naemlich, dass der Eintrag
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
nicht funktioniert und die Pakete wieder zurueckgeschickt werden.
Ich habe dann wieder meine Schleife in der Tracerout
Gruesse
Flohsch
Nun wuerde mich interssieren was denn der eingentliche Unterschied ist zwischen
ip nat inside source static 192.168.0.231 x.x.x.x und
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
Generell doch nur, dass ich nur den Port von einer IP auf die Andere uebersetze oder?
Merkwuerdig ist naemlich, dass der Eintrag
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
nicht funktioniert und die Pakete wieder zurueckgeschickt werden.
Ich habe dann wieder meine Schleife in der Tracerout
Gruesse
Flohsch
Die Kommandos sind ähnlich. Der Unterschied ist folgender:
ip nat inside source static 192.168.0.231 x.x.x.x:
Übersetzt ALLES an Protokollen was von 192.168.0.231 kommt an die x.x.x.x Adresse.
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
Diese Kommando übersetz ausschliesslich nur TCP Port 25 Traffic von der 192.168.0.231 Adresse auf die x.x.x.x Adresse. Also hier lässt der NAT Prozess ausschliesslich NUR SMTP (Mail) Traffic durch sonst nichts !
Willst du also von dem Server von aussen auch per POP3 Emails abholen scheitert das ! Ebenso natürlich Ping oder Traceroute, denn da nur TCP 25 durchkommt, kommt auch kein ICMP Protokoll durch, was von Ping oder Traceroute gemeinhin benutzt wird. Deshalb rennt sich das tot bei dir.
Im Wirkbetrieb sollte man das auch besser ausgeschaltet lassen, damit man nicht irgendwelchen Ping Scans zum Opfer fällt...
ip nat inside source static 192.168.0.231 x.x.x.x:
Übersetzt ALLES an Protokollen was von 192.168.0.231 kommt an die x.x.x.x Adresse.
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
Diese Kommando übersetz ausschliesslich nur TCP Port 25 Traffic von der 192.168.0.231 Adresse auf die x.x.x.x Adresse. Also hier lässt der NAT Prozess ausschliesslich NUR SMTP (Mail) Traffic durch sonst nichts !
Willst du also von dem Server von aussen auch per POP3 Emails abholen scheitert das ! Ebenso natürlich Ping oder Traceroute, denn da nur TCP 25 durchkommt, kommt auch kein ICMP Protokoll durch, was von Ping oder Traceroute gemeinhin benutzt wird. Deshalb rennt sich das tot bei dir.
Im Wirkbetrieb sollte man das auch besser ausgeschaltet lassen, damit man nicht irgendwelchen Ping Scans zum Opfer fällt...
