windows10gegner
Goto Top

Externe IP von innen erreichbar machen

Hallo,
ich habe bei mir nen kleinen FTP eingerichtet und möchte diesen auch intern von der Adresse von ddns.net nutzen. Extern kann auch auf den Server mit der Adresse auch zugreifen, nur intern will es nicht. Meine Frage ist, ob ich da an meinem NAT-Router von Cisco was anpassen muss, denn mit der internen IP ist der Server intern natürlich erreichbar.
Es soll später so aussehen:
Auf dem Notebook wird von example.ddns.net:21 das Verzeichnis eingebunden. Das soll sowohl im Netzwerk intern als auch vom Internet aus funktionieren.
Was wäre da der richtige Lösungsansatz?
LG Marco

Content-Key: 352519

Url: https://administrator.de/contentid/352519

Printed on: April 16, 2024 at 17:04 o'clock

Member: wiesi200
wiesi200 Oct 22, 2017 at 08:48:23 (UTC)
Goto Top
Hallo,

Such mal Hairpin NAT oder NAT Loopback.
Member: aqui
aqui Oct 22, 2017 at 09:26:53 (UTC)
Goto Top
Guckst du hier:
https://wiki.mikrotik.com/wiki/Hairpin_NAT
Router entsprechend customizen, dann rennt es auch.
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 at 09:35:01 (UTC)
Goto Top
Beispiel: externe IP 8.8.8.8 vom Router
Interner Server 10.0.0.30
Rechner: 10.0.0.40
Gateway:10.0.0.1
.30 fragt an 8.8.8.8:21 --> Router erkennt das und leitet auf die interne IP weiter (ip nat inside ... 8.8.8.8:21 --> 10.0.0.30:21) weiter.
Stimmt das so?
Wie richte ich das im Cisco ein?
Member: aqui
aqui Oct 22, 2017 at 09:54:42 (UTC)
Goto Top
Absolut wichtig ist, das der FTP Client hier zwingend den passive Mode supportet. Active FTP Serssions bekommst du nicht über ein NAT Router durch den Port Dualismus TCP 20 und TCP 21. Warum das so ist ? Guckst du hier:
http://slacksite.com/other/ftp.html

Auf dem Cisco macht man das mit static NAT ! Guckst du hier:
https://www.cisco.com/c/en/us/support/docs/ip/network-address-translatio ...

ip nat inside source static tcp 192.168.1.10 21 interface Dialer0 21
Setzt z.B. aus dem Internet eingehendn externe FTP Sessions auf den internen FTP Server 192.168.1.10.
Wichtig ist hier zu beachten das die .10 dann aus dem Overload NAT ausgenommen wird und auch inbound natürlich die Firewall am externen Interface angepasst werden muss um TCP 21 passieren zu lassen.
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 at 10:49:21 (UTC)
Goto Top
passive ist aktiv. Die Weiterleitung besteht bereits.
ip nat inside source static tcp 10.0.0.115 21 interface Dialer0 21 ist die Weiterleitung
access-list 111 permit tcp any any eq ftp ist die Ausnahme in der Firewall

Was der FTP nun kann oder incht ist aber erstmal egal, denn es geht um NAT Loopback. Da hat selbst der Hostname.ddns eigentlich nichts mehr mit zu tun, sondern nur die externe IP und der Router. Die Notlösung wäre ein DNS-Server im internen Netz, dern den CLeints zugeiesen wird, der dann name.ddns auf die interne IP auflöst.
Da der FTP derzeit aus mir noch unbekannten Gründen von aussen nicht nutzbar ist, wird das anhand vom Squid getestet, derauch von aussen funktioniert 10.0.0.115.
Wenn also der FF name.ddns.net anfrägt, soll der intern auf 10.0.0.115 gehen. Das müsste dann entweder per DNS oder per NAT-Loopback gemacht werden. Squid läuft auf Port 443 sowohl auf dem Server als auch extern. Weiterleitung besteht und läuft.
Wie sähe nun der Kram für das NAT-Loopback aus?
Member: aqui
aqui Oct 22, 2017 updated at 12:22:17 (UTC)
Goto Top
Was der FTP nun kann oder incht ist aber erstmal egal,
Nicht wirklich. Im NAT Umfeld ist passive Mode absolute Pflicht, sonst eben kein FTP...aber egal.
denn es geht um NAT Loopback.
Bahnhof, Ägypten...???
Loopback ?? Was soll das sein ?
Da hat selbst der Hostname.ddns eigentlich nichts mehr mit zu tun
Das ist zweifelsohne richtig. Der löst lediglich die dynamische PPPoE IP Adresse am Dialer Interface in einen festen Hostnamen auf. Nicht mehr und nicht weniger.
Die Notlösung wäre ein DNS-Server im internen Netz,
Oder ein fester Eintrag in der hosts oder lmhosts Datei.
Da der FTP derzeit aus mir noch unbekannten Gründen von aussen nicht nutzbar ist,
How come ?? Macht dein Client doch kein Passive Mode ?? Fehler in der NAT Konfig ?? Interne FTP Server IP vergessen aus der Overload Konfig zu DENYen ? Normal geht das fehlerlos !
Wenn also der FF name.ddns.net anfrägt, soll der intern auf 10.0.0.115 gehen
Das ist dann logischerweise ein reines DNS Problem. Hat mit FTP an sich dann nix zu tun !
oder per NAT-Loopback gemacht werden.
??? Was soll denn NAT Loopback sein ?? Und was hat das zu tun mit einer DNS Auflösung ??
Dein Rechner oder der DNS muss ja erstmal irgendwie "merken" das er jetzt im internen Netzwerk werkelt und abhängig davon dann entweder die DynDNS IP oder die lokale IP herausgeben.
Das ist allein Sache des DNS und hat rein gar nix erstmal mit NAT und oder FTP zu tun. Ganz andere Baustelle...
Wie sähe nun der Kram für das NAT-Loopback aus?
Was soll das, bitte sehr, denn sein ??
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 updated at 12:33:03 (UTC)
Goto Top
mit Loopback ist das gemeint, was wisi angesprochen hat. Der NAT-Router soll, wenn aus dem internen Netz ne Anfrage an die externe IP vom Router kommt, diese korrekt an den internen Rechner weiterleiten.
Beispiel:
externe IP vom Router 8.8.8.8:443
interner PC 10.0.0.10
Server 10.0.0.20:443
Wenn von außen Zugriff erfolgt, wird von 8.8.8.8:443 auf 10.0.0.20:443 weitergeleitet.
Wenn jetzt 10.0.0.10 auf 8.8.8.8:443 will, soll auch 10.0.0.20:443 aufgerufen werden.
Ich hoffe, es sit jetz klar, was ich damit meine. Hosts-Datei eght nur bei meinen Desktop-Rechnern, bei den Laptops wird das zum Problem, denn diese sind ja mal intern und mal extern.
Wenn ich per FTP intern alden, nutze ich passive.
ftp 10.0.0.115
dann passive und dann get, put usw.
Member: aqui
aqui Oct 22, 2017 at 16:49:37 (UTC)
Goto Top
Das hier löst übrigens alle deine Probleme auf Schlag:
https://www.heise.de/ct/ausgabe/2017-21-Privater-Nameserver-und-Adblocke ...
Stichwort: DynDNS Überlagerung im Artikel.
Das auf einem Raspberry Pi installiert kostet im 24x7 Dauerbetrieb 12 Euro im Jahr und bringt zig DNS Vorteile inklusive Wahrung der Privatshäre face-wink
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 at 16:54:15 (UTC)
Goto Top
Ich glaube nicht, dass das meine Probleme löst. Der DNS könnte dann auhc auf dem P4-Server laufen, der schon Proxy, FTP und SHH macht.
Member: wiesi200
wiesi200 Oct 22, 2017 at 17:06:47 (UTC)
Goto Top
Zitat von @Windows10Gegner:

Ich glaube nicht, dass das meine Probleme löst.

Zumindest die von diesem Beitrag.
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 at 17:11:41 (UTC)
Goto Top
hätte das aber gerne auf dem Cisco, wenn das geht. Wenn nicht, wird auf dem P4Server ein DNS installiert.
Mitglied: 108012
108012 Oct 22, 2017 at 17:26:02 (UTC)
Goto Top
Hallo,

ich habe bei mir nen kleinen FTP eingerichtet und möchte diesen auch intern von der Adresse von ddns.net nutzen.
Extern kann auch auf den Server mit der Adresse auch zugreifen, nur intern will es nicht.
Heipin-NAT ist da dann eine Möglichkeit und den Server mittels der externen und der internen IP Adresse
anzusprechen ist die andere Möglichkeit. Dann spart man sich das Hairpin-NAT gleich ganz.

FTP ist das so ziemlich das unsicherste Protokoll das es gibt, es überträgt die gesamte Kommunikation in
Klartext und zwar auch die Namen und Passwörter! Hier sollte man FTP im LAN verwenden und S/FTP oder
FTP/S über das Internet nutzen. FileZilla hat einen Server und einen Klienten der kostenlos und das auch gut
realisieren kann.

Meine Frage ist, ob ich da an meinem NAT-Router von Cisco was anpassen muss, denn mit der internen IP ist der
Server intern natürlich erreichbar.
Und was ist an den zwei IP Adressen auszusetzen? Sollte doch gut funktionieren oder?

Es soll später so aussehen:
Auf dem Notebook wird von example.ddns.net:21 das Verzeichnis eingebunden.
WebDAV, OwnCLoud oder andere sollten da wesentlich agiler reagieren und wenn man einen Cloud Dienst
für so etwas benutzt dann sollte das auch gut passen. Überlegt es Euch doch einmal. Selbst ein Heimisches
NAS als VPN Server und FTP Server sollten da besser, da sicherer sein.

Das soll sowohl im Netzwerk intern als auch vom Internet aus funktionieren.
Für den externen Zugriff: FTP//FTP:meine.öffentliche.server.ip.de:21/20
Für den internen Zugriff: 192.168.1.210:21/20

Was wäre da der richtige Lösungsansatz?
Bitte alles hier drüber lesen!

Gruß
Dobbv
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 at 17:42:07 (UTC)
Goto Top
Damit ihr das ganze versteht: Es soll FTP sein, da das von jedem Rechner aus ohne Softwareinstallation nutzbar ist. Ich will FTP in den Explorer unter Windows mounten. Unter LInux soll auch gemountet werden. Und das Notebook wird mal extern und mal intern betrieben. Wenn ich das jetzt anweise, von name.ddns.net zu mounten, dann kann er das im internen Netz nicht.
Member: Pjordorf
Pjordorf Oct 22, 2017 at 18:17:55 (UTC)
Goto Top
Hallo,

Zitat von @Windows10Gegner:
Damit ihr das ganze versteht:
Hier versteht jeder schon was du willst. Es ist aber so einfach nicht machbar. Due willst mit einen Namen (name.ddns.net) zwei unterschiedliche IPs zurückbekommen. Einmal deine interne IP wenn du dich in dein LAN/WLAN aufhälst, und einmal die Öffentliche Dymamische IP wenn du dich ausserhalb deines internen LAN/WLAN aufhälst. Dazu brauchst du dann 2 DNS. Einmal in dein LAN/WLAN was die IP für dein name.ddns.net liefert und einen öffentlichen DNS welcher dir die öffentliche dymamische IP dir zurückgibt. Für ersteres richte dir einen DNS Server in dein LAN/WLAN ein, z.b. auf einen Raspi. Wurde dir ja alles schon hier erläutert.

Gruß,
Peter
Member: Windows10Gegner
Windows10Gegner Oct 22, 2017 at 18:21:35 (UTC)
Goto Top
und was war dann das mit dem ersten Post von wiesi200?
Der Router bekommt aus dem internen Netz ne Anfrage auf meine öffentliche IP und das wird dann an die internen Server weitergeleitet. Ist genau das, was ich will. Eventuell hilft das hier weiter: https://wiki.mikrotik.com/wiki/Hairpin_NAT
Member: aqui
aqui Oct 23, 2017 updated at 16:40:26 (UTC)
Goto Top
Dein Cisco hat kein Problem mit NAT Hairpinnig, IOS supportet das ohne Verrenkungen.
https://supportforums.cisco.com/t5/wan-routing-and-switching/nat-hairpin ...
http://systems-co.blogspot.de/2016/06/cisco-routers-easy-hair-pin-nat-f ...
Oder einach mal nach "cisco ios nat hairpin" googeln face-wink
Member: Windows10Gegner
Windows10Gegner Oct 24, 2017 at 07:29:46 (UTC)
Goto Top
ok. Danke ich werde das heute Mittag ausprobieren

sieht das dann bei mir so aus:
Was wäre, wenn sich die IP alle 24 h ändern würde (dank dem Cisco tut sie das nicht)
interface Loopback0

 ip address externe IP von mir  Maske von dieser IP
 ip nat inside

 ip virtual-reassembly

!

route-map PBRNAT permit 10

 match ip address PBR

 set interface Loopback0

! 
Soll da das interne Netz eingetragen werden?
Ich nutze 10.0.0.0 255.255.255.0
ip access-list standard PBR

 permit 10.0.0.0 0.255.255.255

!

route-map PBRNAT permit 10

 match ip address PBR

 set interface Loopback0

! 
Das muss dann bei mir auf das Dialer0 Interface - richtig?
ip policy route-map PBRNAT

was müssen hier für IPs eingetragen werden?
ip nat pool NATPOOL 192.0.2.11 192.0.2.20 prefix-length 24
Folgendes bleibt wie gehabt.
ip nat inside source list PBR pool NATPOOL overload
Member: aqui
Solution aqui Oct 24, 2017 updated at 08:59:46 (UTC)
Goto Top
dank dem Cisco tut sie das nicht
Da hat der Cisco herzlich wenig Einfluß drauf. Woher kommst du zu dieser "Weisheit" ?!
Wenn dein Provider eine Zwangstrennung initiiert bekommst du auch an einem Cisco immer eine neue IP. Dem Provider es grad Latte was bei ihm an Endgeräten dranhängt.
Soll da das interne Netz eingetragen werden?
Wohl eher ne Host Maske mit 32 Bit.
Man müsste glatt mal probieren ob der Cisco, sofern du ihn als DNS Proxy nutzt, nicht auch die lokale IP rausgibst, denn mit "ip host name x.y.z" kannst du dem Cisco Hostnamen zu IP mitgeben. Auf dem CLI kann man dann mit dem Namen arbeiten.
Ggf. übernimmt er das als Proxy DNS. Käme mal auf einen Test an.
Member: Windows10Gegner
Windows10Gegner Oct 24, 2017 at 10:23:18 (UTC)
Goto Top
ok. Werde ich ausprobieren. Stimmen denn die AUssagen, die ich oben gemacht habe?
Mit der Fritte gab es ne Trenung. Wenn ich den Cisco stromlos mache und dann wieder einschalte, bleibt die IP gleich.
Member: Pjordorf
Pjordorf Oct 24, 2017 at 10:30:28 (UTC)
Goto Top
Hallo,

Zitat von @Windows10Gegner:
Stimmen denn die AUssagen, die ich oben gemacht habe?
Welche denn genau? Du hast viel gesagt...

Mit der Fritte gab es ne Trenung.
Und in welchem zusammenhang ist diese Trennung zu sehen?

Wenn ich den Cisco stromlos mache und dann wieder einschalte, bleibt die IP gleich.
Welche der (min.) 2 IPs denn? Das ist doch ein Router oder?

Gruß,
Peter
Member: Windows10Gegner
Windows10Gegner Oct 24, 2017 at 10:47:10 (UTC)
Goto Top
die Aussagen im Post von mir von 9:29 siehe oben. Stimmen die Annamhen von mir? Wie geht es richtig?
Die externe IP ist gleich geblieben. Die interne natürlich auch. Die Trennung hat nicht mit dem Thema NAT-Hairpinning zu tun. Wenn dort aber die externe eingetragen werden muss, muss man dan ne Variable nutzen, da ich sonst alle 24h die Config anpassen muss.
Member: Windows10Gegner
Windows10Gegner Oct 25, 2017 updated at 13:33:06 (UTC)
Goto Top
meine IP hat der Provider nun geändert. Wie mache ich das Loopback jetzt, wenn sich die IP regelmäßig ändert?

was muss da im Pool eingetragen werden?


ip nat pool NATPOOL 10.0.0.20 10.0.0.30 prefix-length 24
Member: wiesi200
wiesi200 Oct 25, 2017 at 15:44:23 (UTC)
Goto Top
Garnicht,

dann musst du die DNS Variante wählen.
Member: Windows10Gegner
Windows10Gegner Oct 25, 2017 at 15:56:55 (UTC)
Goto Top
ich hoffe, ich ahbe diese IP dann weider für 3 Monate. Dann hält sich das in Grenzen.
Wie siehts nun mit deir Zeie aus?
ip nat pool NATPOOL 10.0.0.20 10.0.0.30 prefix-length 24
passt das soweit? Was ist ein Nat-Pool?
Member: aqui
aqui Oct 26, 2017 updated at 08:38:27 (UTC)
Goto Top
Ein NAT Pool ist eine Anzahl von IP Adressen aus denen der Router eine Translation Adresse wählt je nach ausgehender Session.
Wird eine IP einen zeitlang nicht mehr genutzt wandert sie zurück in den Pool.
Sowas ist eigentlich Quatsch wenn man mit PAT (Overload) arbeitet auf eine einzige WAN IP.
Der NAT Configuartion Guide ist dein Freund face-wink :
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_nat/configurati ...
Member: Windows10Gegner
Windows10Gegner Oct 26, 2017 at 12:27:43 (UTC)
Goto Top
macht dann
ip nat inside source list 101 interface Dialer0 overload
schon den Overload?
Bedeutet das, ich kann den ganzen Kram weglassen. Wenn ich ihn aber brauche, dürfen die Addressen im Pool bestimmten Geräten zueordnet sin(diese die IP haben)?
Wenn ich im interface Loopback meine IP eintarge, kommt meine IP überlappe mit Dialer0, der lgischerweise die selbe IP hat. Was ist da das problem?
Member: Windows10Gegner
Windows10Gegner Oct 29, 2017 at 08:00:13 (UTC)
Goto Top
ip host <hostname> <ip> wird im DNS übernommen. Die Rechner bekommen dann die dort hinterlegte IP. Damit habe ich das jetzt mal gelöst. Loopback klappte leider nicht.
Member: aqui
aqui Oct 29, 2017 updated at 14:20:23 (UTC)
Goto Top
Das ist auch die eleganteste Lösung wenn der Cisco auch DNS Proxy ist. face-wink
Case closed.