windows10gegner
Goto Top

Cisco 886va DNS unheimlich langsam

Hallo,

egal an welchem Rechner ich den DNS des 886va einstelle, es dauert u.U ne halbe Minute, bis eine Antwort kommt.
Wenn ich einen wie 8.8.8.8 einstelle, ist alles flott.
Wenn ich in der CLI des Cisco Namen anpinge und er damit den eigenen DNS nutzt, ist alles flott. Der DNS von CCC, der im Cisco eingestellt ist, reagiert normal, wenn man den direkt nutzt.
Was ist da faul?
LG Marco

Content-Key: 369859

Url: https://administrator.de/contentid/369859

Printed on: April 18, 2024 at 04:04 o'clock

Member: LordGurke
LordGurke Apr 02, 2018 at 20:47:21 (UTC)
Goto Top
Ist die richtige MTU eingestellt? Hast du irgendwelche ACLs, die den ausgehenden Traffic regulieren? Falls ja: Ist auch das TCP-Protokoll für Port 53 freigegeben?
Member: aqui
aqui Apr 03, 2018 updated at 07:16:49 (UTC)
Goto Top
Richtig, leider kann man wegen der recht oberflächlichen Beschreibung nur im freien Fall raten. face-sad
In jedem Falle ist das nicht normal und lässt eine Fehlkonfiguration vermuten.
Hilfreich wäre hier ein Ausszug der Dialer Int Konfig und der DNS relevanten Settings gewesen.
Wie es richtig einzustellen ist zeigt das hiesige Cisco_Tutorial.
Mit den dortigen Settings klappt es fehlerlos und ohne Verzögerung.
Member: Windows10Gegner
Windows10Gegner Apr 03, 2018 at 07:37:33 (UTC)
Goto Top
Den Clients wird die IP des 886va als DNS gegeben.
Wenn ich die durch 9.9.9.9 ersetze, funktioniert alles.

ip name-server 213.73.91.35
ip inspect name myfw icmp router-traffic
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw telnet
ip inspect name myfw dns

ip dns server
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 deny   ip host 10.0.0.100 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 22
access-list 111 permit tcp any any eq 443
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq ftp-data
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit tcp any eq domain any
access-list 111 permit icmp any any unreachable
access-list 111 permit tcp any any eq 5000
access-list 111 permit tcp any any eq 5001
access-list 111 permit tcp any any eq 5002
access-list 111 permit tcp any any eq 5003
access-list 111 permit tcp any any eq 5004
access-list 111 permit tcp any any eq 5005
access-list 111 permit tcp any any eq 5006
access-list 111 permit tcp any any eq 5007
access-list 111 permit tcp any any eq 5008
access-list 111 permit tcp any any eq 5009
access-list 111 permit tcp any any eq 5010
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 8444
access-list 111 permit tcp any any eq 8080
access-list 111 permit tcp any any eq 21625
access-list 111 permit udp any any eq 21625
access-list 111 permit tcp any any eq 6134
access-list 111 permit udp any any eq 6134
Ich hoffe, das das ausreicht.
Member: aqui
aqui Apr 03, 2018 updated at 12:30:16 (UTC)
Goto Top
Den Clients wird die IP des 886va als DNS gegeben.
Deshalb solltest du den DNS Port auch aus der Firewall Instection entfernen.
Außerdem hast du hier einen gravierenden Fehler gemacht in der Konfig !!
Die globale TCP und UDP Inspection muss IMMER AM ENDE als die letzten beiden Statements dort stehen !!!
Bedeutet nämlich das alles was danach definiert wird nicht mehr Protokoll spezifisch behandelt wird.
Deine Telnet und DNS Inspection dort ist also vollkommen wirkungslos. Steht auch so im o.a. Tutorial wenn man mal genau liest !
Das solltest du dringenst korrigieren.
Deine Firewall ist ja so oder so ein löchriger Schweizer Käse wenn man sich die ACL 111 mal so in Ruhe ansieht.
Aber wenn du damit leben kannst ist ja gut...
MTU Setting auf dem Dialer und MSS auf dem LAN stimmen soweit ?
Member: Windows10Gegner
Windows10Gegner Apr 03, 2018 at 15:35:06 (UTC)
Goto Top
MTU auf Dialer 1492
Dann gibt es im VLAN1 noch folgendes:
 ip tcp adjust-mss 1412

Muss das jetzt so aussehen?
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw icmp router-traffic

Zur ACL 111:
Die Ports müssen von außen durchgelassen werden, da da Dienste laufen. Entsprechende Weiterleitungen sind eingerichtet.
Was ist denn so schlimm daran?
Member: aqui
aqui Apr 04, 2018 updated at 08:34:46 (UTC)
Goto Top
VLAN 1 ist richtig aber der MSS Wert ist auch falsch !!
Richtig muss er lauten:
ip tcp adjust-mss 1452

Warum orientierst du dich nicht einfach mal am Tutorial ? face-wink
Wenn du jetzt noch die CBAC Reihenfolge anpassen würdest und auch ICMP noch VOR UDP und TCP bringst wäre es perfekt.
Router dann rebooten und dann sollte alles mit Turbo laufen face-wink
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
!

Was ist denn so schlimm daran?
Na ja wenn die ganze Welt mitsamt seiner bösen Buben über alle diese Ports in dein internes Netz kommen kann sollte das leichte Bauchschmerzen erzeugen.
Sinnvoller wäre da sicher ein VPN. Aber du wirst ja sicher gute Gründe haben....
Noch ein Tip: Wenn alles im 3ten Gang rennt kann es auch sein das versucht wird deinen Router anzugreifen. Bei soviel offenen Ports werden die typischen Port Scanner ja schnell fündig.
Ein show proc cpu hist zeigt dir mal auf wann das der Fall ist. In der Regel geht die CPU Last dann auf 90% und höher.
Member: Windows10Gegner
Windows10Gegner Apr 07, 2018 at 22:03:15 (UTC)
Goto Top
Ich habe die Einträge abgeändert und werde heute Nacht mal einen Neustart durchführen. Bis jetzt hat sich noch nichts geändert.
Ich melde mich dann erneut.
Member: Windows10Gegner
Windows10Gegner Apr 08, 2018 at 12:11:47 (UTC)
Goto Top
Neustart gemacht.
Hat sich nichts geändert bei der Nutzung von 10.0.0.254 als DNS. Ist immer noch grottig langsam.
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw icmp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw tcp router-traffic
Member: aqui
aqui Apr 09, 2018 at 08:02:53 (UTC)
Goto Top
Dann muss es an deinem Provider liegen.
Hier rennen diverse Cisco 886va an Telekom, Vodafone und Colt Anschlüssen mit wirespeeed DNS.
Hast du die Wartezeiten auch wenn du direkt auf dem CLI des Routers arbeitest ?
Member: Windows10Gegner
Windows10Gegner Apr 09, 2018 at 12:10:36 (UTC)
Goto Top
Im CLI funktioniert alles problemlos und schnell.
Sobald aber irgendwo der 886va als DNS steht, ist es langsam.
Member: aqui
aqui Apr 10, 2018 updated at 08:18:36 (UTC)
Goto Top
Im CLI funktioniert alles problemlos und schnell.
Ein sicheres Zeichen das es damit dann nicht am Router selber liegen kann ?!
Member: Windows10Gegner
Windows10Gegner Apr 10, 2018 at 09:22:14 (UTC)
Goto Top
Dann muss die Suche weitergehen. Es betrifft alle Geräte, die den Cisco als DNS haben. Anderer DNS-Traffic läuft flott.
Port 53 ist also nicht gedrosselt.
Wo könnte das noch liegen?
Bei manchen Rechnern ist auch kein Switch dazwischen.
Ich dachte erst, der Catalyst 2950 würde Probleme machen.
Doch auch wenn der nicht genutzt wird, gibt es das Problem.
Member: aqui
aqui Apr 10, 2018 at 09:39:59 (UTC)
Goto Top
Was sagt ein show hosts auf dem Cisco und das Logg (ggf. voher mit clear logg löschen).
Bekommst du dort irgendwelche Fehlermeldungen ?
Hast du NUR ppp ipcp dns request auf dem Dialer konfiguriert und keine zusätzliche statische DNS Definition mit ip name-server xyz ?
Ich dachte erst, der Catalyst 2950 würde Probleme machen.
Nein, solanger der kein L3 macht wäre das technisch unmöglich. Ein L2 Switch weiss rein gar nix von IP Paketen und damit DNS, er kommuniziert bekanntlich ausschliesslich nur mit Mac Adressen !
Ggf. hilft dir das noch:
https://www.jens-bretschneider.de/cisco-router-als-dns-proxy-aber-nur-au ...
Member: Windows10Gegner
Windows10Gegner Apr 10, 2018 at 09:47:32 (UTC)
Goto Top
Ich habe sowohl ppp ipcp dns request als auch einen DNS per ip name-server festgelegt.
Ich möchte NUR den festgelegten nutzen. Der Provider-DNS soll nicht genutzt werden.
Soll ich jetzt einfach ppp ipcp dns request entfernen?
Ich habe am 2950 keine Layer konfiguriert.
Gerne kannst du die Konfig von dem auch sehen.
Member: aqui
aqui Apr 10, 2018 updated at 09:54:31 (UTC)
Goto Top
als auch einen DNS per ip name-server festgelegt.
DAS ! ist der fehler. Entferne den statischen mal und teste neu.
Ich möchte NUR den festgelegten nutzen.
Dann musst du aber auch zwingend mit NO ppp ipcp dns request den PPPoE DNS Request vom Dialer Interface entfernen !
Damit verwendet der Router dann immer nur den statisch Konfigurierten. (Das sollte natürlich KEINER sein der Profile von dir erstellt wie Google oder am anderen Ende der Welt liegt ! (Laufzeit))
Soll ich jetzt einfach ppp ipcp dns request entfernen?
Yepp !
Ich habe am 2950 keine Layer konfiguriert.
Ist natürlich technischer Blödsinn, denn Layer 2 ist immer aktiv sonst könnte der Switch gar nicht switchen.
Wär so als wenn man dich fragt ob du mit Sommer- oder Winterreifen Auto fährst und du antwortest: "Ich habe am Auto keine Reifen montiert..."
Member: Windows10Gegner
Windows10Gegner Apr 10, 2018 at 10:28:12 (UTC)
Goto Top
Ok. Wird heute entfernt.
Dann melde ich mich wieder.
Member: Windows10Gegner
Windows10Gegner Apr 10, 2018 at 12:34:08 (UTC)
Goto Top
Ich habe nun den ppp ipcp dns request entfernt.
Jetzt läuft es etwas schneller, braucht aber noch ca 5-10 sec zum antworten.
Ich werde jetzt mal neustarten.
Member: aqui
aqui Apr 10, 2018 at 15:39:07 (UTC)
Goto Top
Ist sehr ungewöhnlich. Hier alle Systeme mit PPPoE DNS Update und DNS Reply nur einstellige Millisekunden.
Member: Windows10Gegner
Windows10Gegner Apr 11, 2018 at 05:54:29 (UTC)
Goto Top
Im verlinkten Artikel steht was von ip domain-lookup.
Das steht weder im Tut noch in meiner Config. Was bewirkt das?
Member: aqui
aqui Apr 11, 2018 at 07:00:15 (UTC)
Goto Top
Das du auf dem CLI einen DNS Lookup machen kannst. Wenn du mal spaßeshalber no ip domain-lookup eingibst wirst du sehen das du keine DNS Namen mehr auflösen kannst auf dem CLI.
Member: Windows10Gegner
Windows10Gegner Apr 11, 2018 at 07:41:24 (UTC)
Goto Top
Dann muss das automatisch aktiv sein, ohne dass ein spezieller Eintrag erforderlich ist.
Member: gierig
gierig Apr 11, 2018 updated at 12:56:48 (UTC)
Goto Top
Es ist normalerweise per default an (habe ich noch nie anders gesehen).
Es sollte auch an bleiben wenn du den Lokalen DNS Dienst auf dem Cisco benutzen möchtest.

"no ip domain-lookup" stopt jegliche Interaktion mit den DNS Service so auch
externe Anfragen an einen nach außen gepuschten (mit "ip name-server") Dienst.

Dein Fehlerbild klingt nach DNS Timeouts. Da es nach ein paar Sekunden dann läuft
wird ggf. ein andere DNS gefragt der noch in Setup des Clients ist,oder in der Liste der DNS Server auf dem Cisco.

Was sagt den ein dig heise.de @deine Cisco IP oder wenn doch Windows ein nslookup heise.de deineCiscoIP ?
Aqui frage nach der Ausgabe von "show hosts" dort gibt es die Zeile
"Name servers are..."

Glaskugel sagt:
Irgendeine Access List ist nicht ganz sauber. Ähnliches hatte ich auch das
Return Traffic nicht reinkommen durfte und dann auf TCP ausgewichen wurde nach den TimeOuts.
(das ist aber schon 10 Jahre her)

Zeig doch mal bitte Dialer, Internes Interface und alles AccesListen für diese Interface, Firewall Setting.

Sonst gerne auch
"debug ip domain" einschalten uns schauen was der Cisco so treibt.
"no deb al" hinterher nicht vergessen, ggf, mit "term mon" die Debuggen Ausgabe auf dem Terminal einschalten
Member: Windows10Gegner
Windows10Gegner Apr 11, 2018 updated at 20:33:45 (UTC)
Goto Top
Name servers are 213.73.91.35, 212.65.0.189, 213.183.65.31
Alle sind pingbar. nmap mit UDP ahbe ich noch nicht gemacht. warum das aber 3 sind ist mir unklar. Ich habe nur einen eingetragen.
Es stehen einige Server in der Liste.
hier ein Auszug:
ns3.dnsmadeeasy.com None (temp, OK) 0 IP 208.80.125.2
Host Port Flags Age Type Address(es)
IPv6 2600:1801:3::1
ns2.dnsmadeeasy.com None (temp, OK) 0 IP 208.80.126.2
IPv6 2600:1802:2::1
ns1.dnsmadeeasy.com None (temp, OK) 0 IP 208.80.124.2
IPv6 2600:1801:1::1
ns0.dnsmadeeasy.com None (temp, OK) 0 IP 208.94.148.2
IPv6 2600:1800::1
netix.dl.sourceforge.net None (temp, OK) 0 IP 87.121.121.2
downloads.sourceforge.net None (temp, OK) 0 IP 216.105.38.13
gateway None (perm, OK) 1 IP 10.0.0.254


debug ip domain gibt es nicht. Nur dns oder dns-cache.


ip name-server 213.73.91.35
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw ssh
ip inspect name myfw isakmp
ip inspect name myfw sip
ip inspect name myfw rtsp
ip inspect name myfw telnet
ip inspect name myfw dns
ip inspect name myfw icmp router-traffic
ip inspect name myfw udp router-traffic
ip inspect name myfw tcp router-traffic
interface Dialer0
 description DSL-Dialup
 ip ddns update hostname hostname.ddns
 ip ddns update myupdate
 ip address negotiated
 ip access-group 111 in
 no ip redirects
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip inspect myfw out
 ip virtual-reassembly in
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no keepalive
 ppp authentication pap callin
 ppp pap sent-username User password 7 kfjasdfkljl
 ppp ipcp mask request
 ppp ipcp route default
 no cdp enable

ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 10.0.0.100 4662 interface Dialer0 4662
ip nat inside source static udp 10.0.0.100 4672 interface Dialer0 4672
ip nat inside source static tcp 10.0.0.100 9091 interface Dialer0 9091
ip nat inside source static tcp 10.0.0.100 51413 interface Dialer0 51413
ip nat inside source static tcp 10.0.0.115 22 interface Dialer0 22
ip nat inside source static tcp 10.0.0.115 443 interface Dialer0 443
ip nat inside source static tcp 10.0.0.115 21 interface Dialer0 21
ip nat inside source static tcp 10.0.0.115 5006 interface Dialer0 5006
ip nat inside source static tcp 10.0.0.115 5000 interface Dialer0 5000
Einige Portweiterleitungen habe ich weggelassen.

!
dialer-list 1 protocol ip permit
!
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 101 permit ip 10.0.0.0 0.0.0.255 any
access-list 101 deny   ip host 10.0.0.100 any
access-list 111 permit tcp any any eq telnet
access-list 111 permit udp any eq 5060 any
access-list 111 permit udp any eq domain any
access-list 111 permit udp any any eq 4672
access-list 111 permit tcp any any eq 4662
access-list 111 permit tcp any any eq 22
access-list 111 permit tcp any any eq 443
access-list 111 permit tcp any any eq ftp
access-list 111 permit tcp any any eq ftp-data
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit tcp any eq domain any
access-list 111 permit icmp any any unreachable
access-list 111 permit tcp any any eq 5000
access-list 111 permit tcp any any eq 5001
access-list 111 permit tcp any any eq 5002
access-list 111 permit tcp any any eq 5003
access-list 111 permit tcp any any eq 5004
access-list 111 permit tcp any any eq 5005
access-list 111 permit tcp any any eq 5006
access-list 111 permit tcp any any eq 5007
access-list 111 permit tcp any any eq 5008
access-list 111 permit tcp any any eq 5009
access-list 111 permit tcp any any eq 5010
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 8444
access-list 111 permit tcp any any eq 8080
access-list 111 permit tcp any any eq 21625
access-list 111 permit udp any any eq 21625
access-list 111 permit tcp any any eq 6134
access-list 111 permit udp any any eq 6134
!
!


EDIT:
Welchen Debug-Modus soll ich nun nutzen?
Member: gierig
gierig Apr 12, 2018 at 07:29:29 (UTC)
Goto Top
Zitat von @Windows10Gegner:

Name servers are 213.73.91.35, 212.65.0.189, 213.183.65.31
Alle sind pingbar. nmap mit UDP ahbe ich noch nicht gemacht. warum das aber 3 sind ist mir unklar. Ich habe nur einen eingetragen.

213.73.91.35 -> laut PTR dnscache.berlin.ccc.de es gibt aber keinen A record für die Adresse.
ach ja das wichtigste... da lauft gar nicht erst ein DNS Dienst ? Also warum die Adresse ?

212.65.0.189-> ns1.manet.de und 213.183.65.31-> dns1.pfalzkom.de. Erster antwortet öffentlich auf DNS fragen, zweiter nicht (kann sein das der nur mag wenn man auch eine IP bei dem Provider hat)

Das sind also Deine Provider DNS, die du bei der Einwahl bekommst
nach einem " no ppp ipcp dns request" werden die gelernten DNS Server
behalten auch wenn du eine Neueinwahl veranlasst (clear int di 09

Die alten DNS bekommst du mit „no ip name-serve x.x.x.x“ weg (oder halt poors admin reboot)

debug ip domain gibt es nicht. Nur dns oder dns-cache

"debug ip domain" soll es bei dir nicht geben auf einem 886va ?
Eher sehr sehr unwahrscheinlich. Vertipper ? ("debug ip domain")

Aber im Grunde :
der 213.73.91.35 ist Müll da kein DNS Dienst drauf Antwortet. Daher kommt es zu timeouts.
Also warum dieser ?


Nachtrag:
https://berlin.ccc.de/wiki/Hauptseite
Seiten mitte
Aktuelle Ankündigungen
Wir haben den öf­fent­lich Dienst dnscache.berlin.ccc.de offline genommen. Bislang ist nicht klar, ob und wann dieser Dienst zurückkommt. Bitte nutzt die Gelegenheit, um selber DNS-Server aufzusetzen und ggf. für alle bereitzustellen.
Member: aqui
aqui Apr 12, 2018 at 08:04:54 (UTC)
Goto Top
Nur mal OT:
Deine 101er ACL hat noch einen Fehler. Der Host .100 macht statische PAT durch die Port Forwarding Eintrag und der ist mit der ACL 101 richtigerweise vom Overload ausgenommen.
Das gilt aber auch für den .115 und der Eintrag access-list 101 deny ip host 10.0.0.115 any fehlt aber !
Zur DNS Problematik hat ja Kollege @gierig schon alles gesagt.
Member: gierig
gierig Apr 12, 2018 at 09:20:46 (UTC)
Goto Top
Zitat von @aqui:

Nur mal OT:
Deine 101er ACL hat noch einen Fehler. Der Host .100 macht statische PAT durch die Port Forwarding Eintrag und der ist mit der ACL 101 richtigerweise vom Overload ausgenommen.
Das gilt aber auch für den .115 und der Eintrag access-list 101 deny ip host 10.0.0.115 any fehlt aber !

Das habe ich hier schon mal gelesen (ich meine auch von dir) und war perplex, hatte das aber nicht weiter verfolgt.

Das hier widerspricht deiner aussage, funktioniert aber 100%
ip nat inside source static tcp 192.168.1.123 22 interface Dialer0 222
ip nat inside source list LOCAL-PNAT-VPN-EXTERN interface Dialer0 overload

!Dialer Access List
ip access-list extended Dialer_1_IN
 permit tcp any any eq 222

!AccesListe fürs Dynmaische PNAT nach draußen
ip access-list extended LOCAL-PNAT-VPN-EXTERN
 permit ip 192.168.1.0 0.0.0.255 any

Normales Setup + good old cbac (bin zu faul mal auf Zonen Base umstellen)
Das läuft mit verschiedenen Ports an verschiedenen Anschlüssen seit knappen 10 Jahren
(ein 836 mit 12.4 irgendwas ist das älteste woran ich mich erinnere).

Warum sollte das auch nicht gehen ?

Das eine ist das dynamische PNAT für Ausgehende Verbindung.
Das andere eine Portweiterleitung für ankommenden Traffic.

Wenn ich einen Host aus der DPNAT liste herausnehmen (also wie obenein denny für den .101) ist das einzigste das
dieser nicht mehr raus darf abgesehen von return traffic der auf den weitergeleiteten Port ankommt.

Für Oben gilt daher für mich: Host .101 darf nicht in Inet, .115 schon.
Ob Port Weiterleitungen existieren oder nicht ist egal.

Irgendwo steht ein Denkfehler im Raum den ich nicht sehe.
Member: aqui
aqui Apr 12, 2018 updated at 09:52:13 (UTC)
Goto Top
Warum sollte das auch nicht gehen ?
Es geht, ist aber IP technisch gesehen nicht sauber, denn die Inbound SNAT Session ist eine Verschiedene von der Outbound PAT Session weil beide Prozesse sich nicht "sehen". Man hat quasi 2 Pfade. Es ist sauberer dann den PFW Host vom PAT auszunehmen da ja die statische NAT Zuweisung schon besteht.
Kann man machen (um es IP technisch sauber zu machen)...muss man aber nicht face-wink Deshalb geht es auch ohne.
Member: gierig
gierig Apr 12, 2018 at 11:38:51 (UTC)
Goto Top
Natürlich sind es zwei Pfade. Es handelt sind ja schließlich auch zwei unterschiedliche Verbindungen.
Die eine hat nichts mit der anderen zu tun. Die bearbeitende Instanz kennt beide und behandelt sie entsprechend
(Halt die NAT engine).

Oder meinst du den Return Traffic des weitergeleiteten Ports ? Dieser wird aber nicht nochmal
über das pnat gehauen da ja schon ein der statische snat Eintrag besteht.
Pro Inside global         Inside local       Outside local      Outside global
tcp xxx.xxx.xx.xxx:222    192.168.1.123:22   ---                ---
bzw nach aufbau:
tcp xxx.xxx.xx.xxx:222    192.168.1.123:22   xxx.xx.xx.xx:60732 xxx.xx.xx.xx:60732

Das PNAT für den host zu entfernen sorgt einzig und alleine dafür dieser nicht mehr wie die anderen
raus darf. Das kann gewünscht sein oder halt nicht.

Was ist daran bitte unsauber ? Ich kann nicht erkennen wo hier ein Schwachpunkt sein soll.
Was genau funktioniert schlechter oder besser ?

Hier
hattest du es auch geschrieben

Die internen static IP Adressen musst du logischerweise vom PAT (overload) in der ACL 101 ausnehmen !
PAT hat immer Präzedenz über static NAT

Also verrate mir bitte wie du darauf kommst ?
Member: aqui
aqui Apr 12, 2018 updated at 12:08:52 (UTC)
Goto Top
Nein !
Es sei denn du meinst den .100 und den .115 Host.
Nimm dir einen Wireshark und sehe dir die Sessin an wenn inbound via PFW etwas reinkommt. Dann weisst du was gemeint ist face-wink
Oder meinst du den Return Traffic des weitergeleiteten Ports ?
Genau den !
Er darf ja schon durch den statischern NAT. Es sorgt dafür das nur von Outbound aufgebaute Sessions rausdürfen.
Also verrate mir bitte wie du darauf kommst ?
Cisco NAT Doku dazu lesen !
Ist Thema für einen separaten Thread. Wir sollten den hier nicht mit OT Themen einfach kapern !
Member: gierig
gierig Apr 12, 2018 at 13:37:06 (UTC)
Goto Top
Gerne doch, dann gehts hier weiter...
Cisco SNAT mit PANT (Portforwarding bei Overload Host)
Member: Windows10Gegner
Windows10Gegner Apr 12, 2018 at 15:31:00 (UTC)
Goto Top
Das ändern des DNS hat geholfen.
Es läuft wieder normal.
Die Sache mit dem PAT lese ich mir mal durch.