Port Forwarding mit Cicso 886VA (aus altem Thread von LyriC76)

Mitglied: Locke2016

Locke2016 (Level 1) - Jetzt verbinden

23.03.2016 um 13:12 Uhr, 1416 Aufrufe, 6 Kommentare, 1 Danke

Hi zusammen,

wie schon mal hier in einem Thread von LyriC76 beschrieben habe ich das gleiche Problem mit Port Forwarding auf einem Cisco 886 VA.
Ich baue über VDSL eine Internet Verbindung auf (das geht alles), dann möchte ich auf ein dahinter liegendes Gerät (z.B. Firewall) ein Port Forwarding
über https (Port 443) machen. Leider funktioniert das nicht ganz wie geplant. Ich habe zum Test eine Fritz Box im LAN angeschlossen und versucht diese dann versucht über das Internet mit https zu erreichen, leider ohne Erfolg. Kann einer evtl. helfen, da ich auch mit den schon bekannten Unterstützungen von LyriC76 nicht zum Ziel kam. Anbei die wesentlichen Config Schnipsel und ein Debug vom Natting.
Der Port 80 und 443 auf der FritzBox sind offen, das zeigt auch der Telnet vom Router auf den Port.
Die Fritzbox hat die 192.168.188.1, die LAN IP des Routers ist die 192.168.188.2.

Ich danke schon mal allen und hoffe nicht Ihr seid genervt.



ip inspect name myfw tcp
ip inspect name myfw udp
ip cef
no ipv6 cef
!
interface Vlan1
description Lokales LAN
ip address 192.168.188.2 255.255.255.0
ip nat inside
no ip virtual-reassembly in
ip tcp adjust-mss 1452
!
!
interface Dialer1
mtu 1492
ip address negotiated
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
encapsulation ppp
dialer pool 1
dialer-group 1
no keepalive
ppp authentication pap callin
ppp pap sent-username xxxxxxxx#0001@t-online.de password 7 xxxxxxxx
ppp ipcp dns request
ppp ipcp mask request
ppp ipcp route default
no cdp enable
!
ip nat inside source list 101 interface Dialer1 overload
ip nat inside source static tcp 192.168.188.1 443 interface Dialer1 443
ip nat inside source static tcp 192.168.188.1 80 interface Dialer1 80
ip ssh version 2
!
dialer-list 1 protocol ip list 101
!
access-list 23 permit 192.168.188.0 0.0.0.255
access-list 101 deny ip host 192.168.188.2 any
access-list 101 permit ip 192.168.188.0 0.0.0.255 any
access-list 111 permit tcp any any eq www
access-list 111 permit tcp any any eq 443
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq domain any
access-list 111 permit tcp any eq domain any
access-list 111 permit udp any eq ntp any
access-list 111 permit gre any any
access-list 111 deny ip any any log
!
line con 0
no modem enable
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 15 0
password 7 xxxxx
login
transport input ssh
line vty 5 15
access-class 23 in
exec-timeout 15 0
password 7 xxxxx
login
transport input ssh

DEBGUB NAT

r 22 14:11:52.017: NAT: API parameters passed: src_addr:79.226.114.89, src_port:0 dest_addr:91.59.104.62, dest_port:0, proto:6 if_input:Dialer1 pak:176F0D0 get_translated:1
Mar 22 14:11:52.017: ipnat_api_translated_address_and_port_common, out->in want IL,OL
Mar 22 14:11:52.017: NAT: API Failed to get Translated-Info from: (src-addr:79.226.114.89, src-port:0) (dest-addr:91.59.104.62, dest-port:0)
Mar 22 14:11:52.017: NAT*: o: tcp (79.226.114.89, 24172) -> (91.59.104.62, 80) [11509]
Mar 22 14:11:52.017: NAT*: o: tcp (79.226.114.89, 24172) -> (91.59.104.62, 80) [11509]
Mar 22 14:11:52.017: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11509]
Mar 22 14:11:53.021: NAT*: o: tcp (79.226.114.89, 24172) -> (91.59.104.62, 80) [11510]
Mar 22 14:11:53.021: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11510]
Mar 22 14:11:55.022: NAT*: o: tcp (79.226.114.89, 24172) -> (91.59.104.62, 80) [11511]
Mar 22 14:11:55.022: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11511]
Mar 22 14:11:59.171: NAT: API parameters passed: src_addr:163.23.177.8, src_port:0 dest_addr:91.59.104.62, dest_port:0, proto:17 if_input:Dialer1 pak:176F0D0 get_translated:1
Mar 22 14:11:59.171: ipnat_api_translated_address_and_port_common, out->in want IL,OL
Mar 22 14:11:59.171: NAT: API Failed to get Translated-Info from: (src-addr:163.23.177.8, src-port:0) (dest-addr:91.59.104.62, dest-port:0)
Mar 22 14:12:07.208: NAT: API parameters passed: src_addr:192.168.188.1, src_port:0 dest_addr:239.255.255.250, dest_port:0, proto:17 if_input:Vlan1 pak:110DCA8C get_translated:1
Mar 22 14:12:16.938: NAT: API parameters passed: src_addr:79.226.114.89, src_port:0 dest_addr:91.59.104.62, dest_port:0, proto:6 if_input:Dialer1 pak:176F0D0 get_translated:1
Mar 22 14:12:16.938: ipnat_api_translated_address_and_port_common, out->in want IL,OL
Mar 22 14:12:16.938: NAT: API Failed to get Translated-Info from: (src-addr:79.226.114.89, src-port:0) (dest-addr:91.59.104.62, dest-port:0)
Mar 22 14:12:16.938: NAT*: o: tcp (79.226.114.89, 59273) -> (91.59.104.62, 80) [11512]
Mar 22 14:12:16.938: NAT*: o: tcp (79.226.114.89, 59273) -> (91.59.104.62, 80) [11512]
Mar 22 14:12:16.938: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11512]
Mar 22 14:12:17.950: NAT*: o: tcp (79.226.114.89, 59273) -> (91.59.104.62, 80) [11513]
Mar 22 14:12:17.950: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11513]
Mar 22 14:12:19.934: NAT*: o: tcp (79.226.114.89, 59273) -> (91.59.104.62, 80) [11514]
Mar 22 14:12:19.934: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11514]
Mar 22 14:12:24.623: NAT: API parameters passed: src_addr:79.226.114.89, src_port:0 dest_addr:91.59.104.62, dest_port:0, proto:6 if_input:Dialer1 pak:176F0D0 get_translated:1
Mar 22 14:12:24.623: ipnat_api_translated_address_and_port_common, out->in want IL,OL
Mar 22 14:12:24.623: NAT: API Failed to get Translated-Info from: (src-addr:79.226.114.89, src-port:0) (dest-addr:91.59.104.62, dest-port:0)
Mar 22 14:12:24.623: NAT*: o: tcp (79.226.114.89, 62099) -> (91.59.104.62, 443) [11515]
Mar 22 14:12:24.623: NAT*: o: tcp (79.226.114.89, 62099) -> (91.59.104.62, 443) [11515]
Mar 22 14:12:24.623: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11515]
Mar 22 14:12:25.636: NAT*: o: tcp (79.226.114.89, 62099) -> (91.59.104.62, 443) [11516]
Mar 22 14:12:25.636: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11516]
Mar 22 14:12:27.640: NAT*: o: tcp (79.226.114.89, 62099) -> (91.59.104.62, 443) [11517]
Mar 22 14:12:27.640: NAT*: s=79.226.114.89, d=91.59.104.62->192.168.188.1 [11517]

Test#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 91.59.104.62:80 192.168.188.1:80 79.226.114.89:24172 79.226.114.89:24172
tcp 91.59.104.62:80 192.168.188.1:80 79.226.114.89:59273 79.226.114.89:59273
tcp 91.59.104.62:80 192.168.188.1:80 --- ---
tcp 91.59.104.62:443 192.168.188.1:443 79.226.114.89:62099 79.226.114.89:62099
tcp 91.59.104.62:443 192.168.188.1:443 --- ---
Test#


Test#ping 192.168.188.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.188.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/8 ms
Test#telnet 192.168.188.1 443
Trying 192.168.188.1, 443 ... Open
Mitglied: aqui
LÖSUNG 23.03.2016, aktualisiert um 14:33 Uhr
Soweit ist deine Cisco Konfig korrekt, wenn man mal von dem kosmetischen Aspekt absieht das ein Router meist die .1 oder die .254 als statische LAN IP hat. Aber wie gesagt...rein kosmetisch.
Wir gehen dann also auch mal davon aus das die .188.1 und die .188.2 aus einem ggf. konfigurierten DHCP Server auf dem Router excluded, sind, richtig ?
Ansonsten stimmt alles:
  • Statischer NAT Eintrag für Port 80 und 443 vorhanden
  • Die .188.1 ist excluded via ACL 101 vom PAT
  • Inbound ist Port 80 und 443 am WAN Port erlaubt via ACL 111
Soweit so gut....

Besser wäre es wenn du statt der Fritzbox mal einen PC im lokalen LAN plazierst mit der IP .188.1 und der einen laufenden Wireshark hat.
Kannst du dort die eingehenden Port 80 oder 443 Pakete sehen aus dem Internet ?
Wenn nein, änder mal bitte das statische NAT in
ip nat inside source static 192.168.188.1 interface Dialer1
als einzigen statischen NAT Parameter.
Kannst du jetzt eingehende Port 80 oder 443 Pakete sehen aus dem Internet bzw. die FB erreichen ?
Ergänze bitte auch am Firewall Statement einmal
ip inspect name myfw http

und
ip inspect name myfw https

Und teste beide Durchläufe nochmal.
Bitte warten ..
Mitglied: Locke2016
23.03.2016 um 15:32 Uhr
Hi Aqui,

danke für die schnelle Antwort. DHCP Scope habe ich keinen konfiguriert.
Habe mal den NAT Eintrag geändert und auch die FW Einträge ergänzt, leider bisher ohne Erfolg.
Ich ziehe wie vorgeschlagen mal einen Trace mit Wireshark und schaue was ankommt.

Vorerst vielen Dank, ich melde mich wieder.

Viele Grüße
Locke
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.03.2016, aktualisiert um 18:21 Uhr
Habe mal den NAT Eintrag geändert
Mit geändertem NAT Eintrag funktioniert es hier im Test Setup fehlerlos !!
Mit TCP teste ich gerade noch.
Dann machst du grundsätzlich irgendwo was falsch oder hast einen Fehler in der Konfig !

Hier ist die funktionierende Labor Konfig. Testserver ist ein Webserver im lokalen LAN mit der IP 172.16.7.151:
ip inspect name myfw udp
ip inspect name myfw tcp
ip inspect name myfw https
ip inspect name myfw http
!
interface Vlan1
description Lokales LAN
ip address 172.16.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface Vlan99
description Internet Port
ip address 10.1.1.88 255.255.255.0
ip access-group 111 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly in
!
ip nat inside source list 101 interface Vlan99 overload
ip nat inside source static 172.16.7.151 10.1.1.88
!
access-list 101 deny ip host 172.16.7.151 any
access-list 101 permit ip 172.16.7.0 0.0.0.255 any
!
access-list 111 permit icmp any host 10.1.1.88 administratively-prohibited
access-list 111 permit icmp any host 10.1.1.88 echo-reply
access-list 111 permit icmp any host 10.1.1.88 packet-too-big
access-list 111 permit icmp any host 10.1.1.88 time-exceeded
access-list 111 permit icmp any host 10.1.1.88 unreachable
access-list 111 permit tcp any host 10.1.1.88 eq www
access-list 111 permit udp any eq ntp host 10.1.1.88
access-list 111 permit udp any eq domain host 10.1.1.88
access-list 111 permit tcp any eq domain host 10.1.1.88
access-list 111 deny ip any any

TCP Konfig folgt...
So hier die TCP Version. Konfig zu oben vollkommen gleich nur eine Zeile geändert und deinem Szenario angepasst:
ip nat inside source list 101 interface Vlan99 overload
ip nat inside source static tcp 172.16.7.151 80 interface Vlan99 80
ip nat inside source static tcp 172.16.7.151 443 interface Vlan99 443

Rennt fehlerlos auf einem 880 und auch 800er !
Bitte warten ..
Mitglied: Locke2016
25.03.2016 um 14:53 Uhr
OK, teste es noch einmal nächste Woche Dienstag und prüfe die Konfig noch mal nach.
Ich melde mich mit dem Ergebnis.

Besten Dank.
Frohe Ostern
Locke
Bitte warten ..
Mitglied: Locke2016
13.04.2016 um 20:05 Uhr
Hi aqui,

läuft jetzt mit dem gleichen Setup. Problem war wohl doch die Fritzbox hinter dem Router.
Ich habe einen zweiten Cisco 886va hinter den ersten cascadiert und den https Zugriff auf diesen probiert, ging dann.

Sorry, dass ich mich jetzt erst melde, aber ich war krank und auf Dienstreise.

Besten Dank für die tolle Unterstützung.

Viele Grüße
Locke
Bitte warten ..
Mitglied: aqui
15.04.2016 um 09:37 Uhr
Kein Problem, und klasse wenns nun funktioniert wie es soll ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Infrastruktur für Firma
brainwashVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kurze Erklärung zu meinem Problem Wir sind eine kleine Firma mit zwei Standorten im Bereich Brandschutz. Zur Zeit nutzen wir für unsere ...

Server-Hardware
Verkaufe RX300 S7 Server von Fuijutsu
HolzBrettVor 1 TagAllgemeinServer-Hardware12 Kommentare

Hi, Ich wohne in Aachen und habe die Server von der Firma umsonst erhalten. Ich habe sie bereits überprüft (es geht alles). Ich möchte ...

Windows 10
Netzwerkzugriff intern extern blockiert nach Aufbau NordVPN Verbindung
Slavik-10Vor 23 StundenFrageWindows 1029 Kommentare

hallo Leute, ich habe mir vor kurzem ein VPN Anbieter bestellt. Das Problem an der ganzen Sache ist, sobald eine VPN Verbindung zu einem ...

Netzwerkprotokolle
Proxy Zugang von Extern
gelöst Jannik2018Vor 1 TagFrageNetzwerkprotokolle17 Kommentare

Hallo zusammen, ich habe mir einen Squid Proxy auf einer Linux VM aufgesetzt und möchte das man aus allen netzen drauf zugreifen kann allerdings ...

Off Topic
Namenskonzept Kundengeräte
bitnarratorVor 16 StundenFrageOff Topic5 Kommentare

Hallo, ich möchte gerne einmal die Diskussion anstoßen, weil ich eine hier in diese Richtung noch nichts gefunden habe. Es geht um die Bennenung ...

Windows Server
Kein Internetzugriff bei einem Domänenclient
KerberoVor 22 StundenFrageWindows Server13 Kommentare

Hallo community, ich habe ein ganz komisches Verhalten eines Clients bei mir. Ich habe eine kleine Domäne (6 Clients und ein Windows Server 2016 ...

LAN, WAN, Wireless
Verständnisfrage VPN Performance pfSense
flabsVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Moin Kollegen, ich betreibe 3 pfSense Firewalls an 3 Standorten. Zwischen Standort A und B gibt es einen IPSec Tunnel. Der läuft seit Jahren ...

Sicherheit
Verpackter Laptop entwendet
r0x3llVor 5 StundenFrageSicherheit9 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...