Cisco 886va VDSL Ports Weiterleiten ???

lyric76
Goto Top
Hallo und einen schönen guten Abend.

Ich sitze hier in der Firma, und bin inzwischen am verzweifeln. face-sad
Ich habe heute morgen angefangen den Router Cisco 886va zu konfigurieren, lief alles super durch, keine Probleme.
Dann kamen die Port-forwardings ran und was soll ich sagen, bin am verzweifeln.
Die gängigen befehle wie:

ip nat inside source static tcp 192.168.1.2 25 interface Dailer0 25

klappt leider nicht. Vielleicht kann mir einer von euch bitte weiterhelfen.
Bei der Einrichtung des Routers habe ich mich an diesem Post orientiert.

https://www.administrator.de/wissen/konfiguration-cisco-886va-mit-adsl-o ...

Vielen Dank für eure Hilfe und Ideen.

Content-Key: 239150

Url: https://administrator.de/contentid/239150

Ausgedruckt am: 14.08.2022 um 23:08 Uhr

Mitglied: Th0mKa
Th0mKa 25.05.2014 aktualisiert um 20:20:39 Uhr
Goto Top
Moin,

was heißt "klappt leider nicht"? Hast du den Befehl genau so ausgeführt?
Wenn ja solltest du ihn mal richtig schreiben, das Interface ist nicht korrekt.

VG,

Thomas
Mitglied: LyriC76
LyriC76 25.05.2014 um 20:32:13 Uhr
Goto Top
Hi,

ups sorry hatte hier einen Vertipper. *schäm*
Im Router steht es richtig ich Poste mal den Abschnitt der config.

interface Dialer0
description DSL Einwahl Interface
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1492
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp chap hostname feste-ip10/0TB0SMK1QQVU@t-online-com.de
ppp chap password 0 XXXXXXXX
ppp pap sent-username feste-ip10/0TB0SMK1QQVU@t-online-com.de password 0 XXXXXXXX
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip local pool pptp_dialin 192.168.1.220 192.168.1.230
no ip forward-protocol nd
ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list 101 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.2 2222 interface Dialer0 2222
ip nat inside source static tcp 192.168.1.2 25 interface Dialer0 25
ip nat inside source static tcp 192.168.1.2 80 interface Dialer0 80
!
access-list 10 deny 192.168.1.0 0.0.0.255
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 99 deny 10.10.10.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 remark Traffic allowed to enter the router from the Internet
access-list 111 deny ip any host 255.255.255.255
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit tcp any any eq 2222
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq 993
access-list 111 permit tcp any any eq 465
access-list 111 permit tcp any any eq 3389
access-list 111 permit tcp any any eq 4711
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip list 101

Ich habe bisher nur die Ports 2222, 25 und 80 eingetragen um es zu testen, ob ich von außen erreiche.
Leider bisher ohne erfolg.

Bin für jede Idee dankbar.

lG,

Micha
Mitglied: aqui
Lösung aqui 25.05.2014, aktualisiert am 27.05.2014 um 08:53:48 Uhr
Goto Top
Die internen static IP Adressen musst du logischerweise vom PAT (overload) in der ACL 101 ausnehmen !

access-list 101 deny ip host 192.168.1.2 any
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 permit ip 10.10.10.0 0.0.0.255 any
access-list 101 deny any any


Dann klappt das auch. PAT hat immer Präzedenz über static NAT
Benutze immer den Debugger ( debug Kommando) das zeigt dir immer sofort wo dein Konfig Fehler ist ! Am Ende immer mit "u all" wieder ausschalten !
Achte außerdem darauf das deine internen Ziele im lokalen LAN in ihrer lokalen Firewall externe IPs zulassen !!
Das muss man entsprechend anpassen, denn normalerweise blockt die lokale Firewall ALLES was IP seitig nicht aus dem lokalen Netz kommt. Vergiss das nicht !
Mitglied: LyriC76
LyriC76 27.05.2014 um 08:53:25 Uhr
Goto Top
Vielen Dank für die Hilfe. face-smile
Mitglied: aqui
aqui 27.05.2014 um 19:38:00 Uhr
Goto Top
Immer gerne wieder... face-smile