Private IP und C-Class Probleme
Clients über DHCP haben schlechte Performance. Netzwerk Zugriff wird teilweise unterbrochen.
Wir haben einen Domaincontroller der gleichzeitig ein DHCP ist. Zusätzlich einen DNS 2 Server mit Cisco Router und Switch. Der DHCP vergibt ohne Probleme private IPs im Range 192.168.1.20-xxx. Der Cisco Router ist Gateway und mit der IP x.x.x.40 sowie 192.168.1.1 konfiguriert worden, weil wir private und C-Class Adressen haben. Nun möchte ich, dass C-Class Adressen nur noch die Server haben dürfen/können und Clients, Drucker etc. eine private DHCP Adresse zugewiesen bekommen.
Soweit so gut.
Client Unterbruch Netzwerk Verbindungen
Wenn ein Client auf den Domänencontroller oder anderen Server zugreifen möchte, dauert die Suche über Arbeitsplatz oder Netzwerk des entsprechenden Servers bis zu 2 Minuten. Teilweise wird der Server gar nicht gefunden.
Client Zugriff auf Internet
Wenn ich über eine Client WS ein tracert (Verfolgung) zu 192.168.0.1 mache, so endet die Suche im Internet Nirvana. Also hier ist nicht klar, dass der Client NICHT im Internet suchen soll, sondern im Intranet der Firma.
Client Programm Zugriff über Server
Wenn ein Client ein Programm auf dem Server startet, so fällt die Verbindung ungewollt nach ein paar Minuten aus. Eine neue Netzwerkverbindung muss gemacht werden und das Programm muss neu gestartet werden.
Gemischtes Netzwerk
Einzelne Clients haben C-Class Adressen (x.x.x.33-46) und private IPs (192.168.1.xx). Die C-Class Clients können dann nicht auf private Clients zugreifen trotz PING Antwort.
Wer hier eine Lösung hat, bekommt dies vergütet.
Gruss, Marcel
Wir haben einen Domaincontroller der gleichzeitig ein DHCP ist. Zusätzlich einen DNS 2 Server mit Cisco Router und Switch. Der DHCP vergibt ohne Probleme private IPs im Range 192.168.1.20-xxx. Der Cisco Router ist Gateway und mit der IP x.x.x.40 sowie 192.168.1.1 konfiguriert worden, weil wir private und C-Class Adressen haben. Nun möchte ich, dass C-Class Adressen nur noch die Server haben dürfen/können und Clients, Drucker etc. eine private DHCP Adresse zugewiesen bekommen.
Soweit so gut.
Client Unterbruch Netzwerk Verbindungen
Wenn ein Client auf den Domänencontroller oder anderen Server zugreifen möchte, dauert die Suche über Arbeitsplatz oder Netzwerk des entsprechenden Servers bis zu 2 Minuten. Teilweise wird der Server gar nicht gefunden.
Client Zugriff auf Internet
Wenn ich über eine Client WS ein tracert (Verfolgung) zu 192.168.0.1 mache, so endet die Suche im Internet Nirvana. Also hier ist nicht klar, dass der Client NICHT im Internet suchen soll, sondern im Intranet der Firma.
Client Programm Zugriff über Server
Wenn ein Client ein Programm auf dem Server startet, so fällt die Verbindung ungewollt nach ein paar Minuten aus. Eine neue Netzwerkverbindung muss gemacht werden und das Programm muss neu gestartet werden.
Gemischtes Netzwerk
Einzelne Clients haben C-Class Adressen (x.x.x.33-46) und private IPs (192.168.1.xx). Die C-Class Clients können dann nicht auf private Clients zugreifen trotz PING Antwort.
Wer hier eine Lösung hat, bekommt dies vergütet.
Gruss, Marcel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 58951
Url: https://administrator.de/contentid/58951
Ausgedruckt am: 08.11.2024 um 14:11 Uhr
9 Kommentare
Neuester Kommentar
Dein Netzwerkdesign ist etwas diffus aber anhand der Beschreibung kann man sagen das du sehr wahrscheinlich ein IP Designfehler gemacht hast und zwar einen erheblichen, was dir diese erheblichen Probleme verursacht !
Leider hast du die Router Konfig nicht gepostet so das man etwas raten muss.
Nach deiner Zeichnung sieht es so aus als ob die Clients am Router unterschiedliche Adressen aus den öffentlichen 62.x.x.x Bereich und aus dem RFC 1918 Bereich 192.168.0.x haben. Allein das ist schon sehr problematisch und eigentlich nicht machbar.
Folgende Fragen sind noch offen:
1.) Nach deiner Zeichnung sind am DC-1 2 IP Segmente dran. Es ist aber aus der Zeichnung nicht klar ob der NS2/DNS-2 dieses Segment routet oder ebenfalls im 62.x.x.x Segment ist. Also ob es so
(Firewall)----FW-LAN---(DC1)---CrossoverLAN---(DS2/DNS2)---CrossoverLAN---(CiscoRouter)--Cl
oder so
(Firewall)----FW-LAN---(DC1 und DS2/DNS2 im 62.x.x.x)---CrossoverLAN---(CiscoRouter)--Client
aussieht ???
2.) Ist dem so welches IP Segment ist dann das Firewall LAN wenn DC1 zwei NICs hat ??
3.) Oben schreibst du dein Cisco hat die 192.168.1.1 ! Davon ist unten aber nicht mehr die Reden denn plötzlich ist das Netz die 192.168.0.0/24. Was stimmt denn nun oder hast du noch mehr als diese beiden IP Segmente auf dem Router, was die Sache noch chaotischer machen würde !
Das eigentliche Problem aber ist der Cisco Router bzw. dessen Konfig !!!
Wie ist es möglich das du das 62.x.x.x Segment sowohl auf der Seite der DC1/DS2 Seite hast und auch auf der Client Seite ???
Damit wird ja der Router ad absurdum geführt wenn du auf beiden Seiten ein und dasselbe IP Netzwerk hast ??? Oder hast du den 62.x.x.x Bereich weiter in Subnetzs unterteilt und das sauber routingtechnisch getrennt ??? Aus Layer 3 Sicht kannst du ja niemals dasgleiche IP Segment auf beiden Routerseiten haben...wie soll das gehen ?
Auch hier ist deine Beschreibung mehr als unklar !!
Aber auch wenn dem so wäre, müsstest du dann ja in jedem Falle mit secondary Adressen auf dem Cisco fahren was natürlich in einem Cisco Umfeld tödlich ist, denn damit zwingst du den Router ins sog. Process Switching was bedeutet das sämtliches Packet Frowarding nur noch über die CPU funktioniert. Von ICMP Problemen mal ganz abgesehen, die noch dazukommen.
Das Resultat davon sollte dir klar sein. Sehr schlechte Perfromance und keinerlei Skalierbarkeit !
So wie es nach deiner doch etwas oberflächlichen Beschreibung und den daraus resultierenden Vermutungen aussieht, hast du ein erhebliches Designproblem UND sehr wahrscheinlich auch ein Konfig Problem in deinem Netz.
Was soll das genau bedeuten ...der Cisco ist so konfiguriert das er alle Packete durchlässt...?? Ist er Router ??? Ist er Bridge ???
Solange du die o.a. Fragen nicht sicher klärst und genau die Konfig des Routers beschreibst wird ein Troubleshooting deines Netzes sehr schwierig per remote !!!
Eine saubere Lösung sollte aber problemlos möglich sein wenn du diese Fragen klären kannst !
Leider hast du die Router Konfig nicht gepostet so das man etwas raten muss.
Nach deiner Zeichnung sieht es so aus als ob die Clients am Router unterschiedliche Adressen aus den öffentlichen 62.x.x.x Bereich und aus dem RFC 1918 Bereich 192.168.0.x haben. Allein das ist schon sehr problematisch und eigentlich nicht machbar.
Folgende Fragen sind noch offen:
1.) Nach deiner Zeichnung sind am DC-1 2 IP Segmente dran. Es ist aber aus der Zeichnung nicht klar ob der NS2/DNS-2 dieses Segment routet oder ebenfalls im 62.x.x.x Segment ist. Also ob es so
(Firewall)----FW-LAN---(DC1)---CrossoverLAN---(DS2/DNS2)---CrossoverLAN---(CiscoRouter)--Cl
oder so
(Firewall)----FW-LAN---(DC1 und DS2/DNS2 im 62.x.x.x)---CrossoverLAN---(CiscoRouter)--Client
aussieht ???
2.) Ist dem so welches IP Segment ist dann das Firewall LAN wenn DC1 zwei NICs hat ??
3.) Oben schreibst du dein Cisco hat die 192.168.1.1 ! Davon ist unten aber nicht mehr die Reden denn plötzlich ist das Netz die 192.168.0.0/24. Was stimmt denn nun oder hast du noch mehr als diese beiden IP Segmente auf dem Router, was die Sache noch chaotischer machen würde !
Das eigentliche Problem aber ist der Cisco Router bzw. dessen Konfig !!!
Wie ist es möglich das du das 62.x.x.x Segment sowohl auf der Seite der DC1/DS2 Seite hast und auch auf der Client Seite ???
Damit wird ja der Router ad absurdum geführt wenn du auf beiden Seiten ein und dasselbe IP Netzwerk hast ??? Oder hast du den 62.x.x.x Bereich weiter in Subnetzs unterteilt und das sauber routingtechnisch getrennt ??? Aus Layer 3 Sicht kannst du ja niemals dasgleiche IP Segment auf beiden Routerseiten haben...wie soll das gehen ?
Auch hier ist deine Beschreibung mehr als unklar !!
Aber auch wenn dem so wäre, müsstest du dann ja in jedem Falle mit secondary Adressen auf dem Cisco fahren was natürlich in einem Cisco Umfeld tödlich ist, denn damit zwingst du den Router ins sog. Process Switching was bedeutet das sämtliches Packet Frowarding nur noch über die CPU funktioniert. Von ICMP Problemen mal ganz abgesehen, die noch dazukommen.
Das Resultat davon sollte dir klar sein. Sehr schlechte Perfromance und keinerlei Skalierbarkeit !
So wie es nach deiner doch etwas oberflächlichen Beschreibung und den daraus resultierenden Vermutungen aussieht, hast du ein erhebliches Designproblem UND sehr wahrscheinlich auch ein Konfig Problem in deinem Netz.
Was soll das genau bedeuten ...der Cisco ist so konfiguriert das er alle Packete durchlässt...?? Ist er Router ??? Ist er Bridge ???
Solange du die o.a. Fragen nicht sicher klärst und genau die Konfig des Routers beschreibst wird ein Troubleshooting deines Netzes sehr schwierig per remote !!!
Eine saubere Lösung sollte aber problemlos möglich sein wenn du diese Fragen klären kannst !
OK, das macht das ganze schon etwas klarer... (Kleiner Tip: Die 62er Adressen der Server (unter Punkt 1) solltest du mit dem "x" wieder wegeditieren damit hier niemand auf dumme Gedanken kommt )
Also vereinfacht sieht das Diagramm dann so aus:
Internet---(Cisco ISP(.33)---- FW(.35)---Switch1_LAN62.x.198.0----- (2600(.41)-----LAN_192.168.1.0
Die Zentrale Frage ist jetzt was willst du mit dem Netz erreichen ???
Ich verstehe das jetzt so das du öffentliche IPs bekommen hast und damit eine DNS Domain oder DMZ etc. beteibst die im öffentlichen Bereich hinter dem ISP Router bzw. Firewall stehen und alle über Switch-1 verbunden sind.
Frage: Sind in diesem Segment auch noch Clients ??
Vermutlich nicht und die Server in diesem öffentlichen Segment haben als default Gateway mit Sicherheit die FW IP Adresse 62.x.198.35 (Eine fehlt da in deinem Bild denn eine FW hat ja mindestens immer 2 Interfaces !) eingestellt. Bzw. die FW dann selber als default Gateway den ISP Router, richtig ???
Also dein öffentliches Serversegment ist sowas wie eine DMZ... ?!
Als weitere Frage die sich dann gleich stellt: Wenn du auf dem Server eine Windows Domain (also keine DNS Domain) erstellen willst, ihn als DHCP Server laufen lassen willst usw. sind das ja eigentlich Funktionen die hinter den 2ten Router (2600) gehören ins Backoffice und niemals in ein öffentliches IP Segment !
Mal ganz abgesehen von der Tatsache einen Windows Office Server offen im Internet zu exponieren...eigentlich keine wirklich gute Idee wenn er hauptsächlich für Funktionen im Office benutzt wird das im 192.168.1.0er Netz arbeitet !!!
OK, gesetzt den Fall das ist so: Im DMZ Segment keine Clients und alle Clients sind hinter dem Router im 192.168.1.0er Segment und sollen nur intern arbeiten und auf diese Server bzw. ins Internet. Einfach gesehen so:
(Internet)---(ISP-Router)---(FW)---62.x.198.0----(Router)---192.168.1.0---Client
Die Frage ist jetzt noch ob du willst das deine 192.168.1er Adressen noch im Serversegment auftauchen sollen ??? Wenn ja musst du eine statische Route auf der Firewall installieren die alle Packete in dies Netz auf den 2600er Router schickt. Die FW sollte ausgehen ins Internet aber natürlich alle 192.168.er RFC1918 Netz blocken.
Besser ist es natürlich wenn du noch Hostadressen aus dem 62.x.198.0er Bereich frei hast direkt auf dem 2600er Cisco ein statisches NAT der Clientadressen auf 62er Adressen zu machen. Hast du zuwenig Adressen löst das eine PAT (Port Adress Translation) Konfiguration auf dem 2600er, der dann das gesamte 192.168.1.0er Netz auf eine 62er IP am 2600er Router umsetzt (Prinzip eines jeden DSL Consumerrouters !) Dein Backoffice Netz taucht dann also immer mit öffentlichen IPs hinter dem 2600er Router auf.
Das setzt allerdings voraus das du den Server nicht für Windows File- und Druckersharing benutzt, sonst bleibt dir nur das Routen mit der Route auf der FW.
Die NAT Lösung ist erheblich sicherer ! Ebenso den DHCP auf dem Server einzurichten ist keine gute Idee. Als Gesamtlösung ist es dann besser diesen Server mit ins 192.168.1.0er Segment zu verlegen.
Geht es dir nur ums DHCP fürs Clientsegment kann das auch der 2600er Cisco erledigen, denn der hat einen DHCP Server an Board und muss nur dafür konfiguriert werden !
Generell gilt alles an Office Funktionen sollte direkt ins 192.168.1.0er Segment verlegt werden.
Ich denke mal das ist im Groben was du willst oder hab ich was übersehen ???
Also vereinfacht sieht das Diagramm dann so aus:
Internet---(Cisco ISP(.33)---- FW(.35)---Switch1_LAN62.x.198.0----- (2600(.41)-----LAN_192.168.1.0
Die Zentrale Frage ist jetzt was willst du mit dem Netz erreichen ???
Ich verstehe das jetzt so das du öffentliche IPs bekommen hast und damit eine DNS Domain oder DMZ etc. beteibst die im öffentlichen Bereich hinter dem ISP Router bzw. Firewall stehen und alle über Switch-1 verbunden sind.
Frage: Sind in diesem Segment auch noch Clients ??
Vermutlich nicht und die Server in diesem öffentlichen Segment haben als default Gateway mit Sicherheit die FW IP Adresse 62.x.198.35 (Eine fehlt da in deinem Bild denn eine FW hat ja mindestens immer 2 Interfaces !) eingestellt. Bzw. die FW dann selber als default Gateway den ISP Router, richtig ???
Also dein öffentliches Serversegment ist sowas wie eine DMZ... ?!
Als weitere Frage die sich dann gleich stellt: Wenn du auf dem Server eine Windows Domain (also keine DNS Domain) erstellen willst, ihn als DHCP Server laufen lassen willst usw. sind das ja eigentlich Funktionen die hinter den 2ten Router (2600) gehören ins Backoffice und niemals in ein öffentliches IP Segment !
Mal ganz abgesehen von der Tatsache einen Windows Office Server offen im Internet zu exponieren...eigentlich keine wirklich gute Idee wenn er hauptsächlich für Funktionen im Office benutzt wird das im 192.168.1.0er Netz arbeitet !!!
OK, gesetzt den Fall das ist so: Im DMZ Segment keine Clients und alle Clients sind hinter dem Router im 192.168.1.0er Segment und sollen nur intern arbeiten und auf diese Server bzw. ins Internet. Einfach gesehen so:
(Internet)---(ISP-Router)---(FW)---62.x.198.0----(Router)---192.168.1.0---Client
Die Frage ist jetzt noch ob du willst das deine 192.168.1er Adressen noch im Serversegment auftauchen sollen ??? Wenn ja musst du eine statische Route auf der Firewall installieren die alle Packete in dies Netz auf den 2600er Router schickt. Die FW sollte ausgehen ins Internet aber natürlich alle 192.168.er RFC1918 Netz blocken.
Besser ist es natürlich wenn du noch Hostadressen aus dem 62.x.198.0er Bereich frei hast direkt auf dem 2600er Cisco ein statisches NAT der Clientadressen auf 62er Adressen zu machen. Hast du zuwenig Adressen löst das eine PAT (Port Adress Translation) Konfiguration auf dem 2600er, der dann das gesamte 192.168.1.0er Netz auf eine 62er IP am 2600er Router umsetzt (Prinzip eines jeden DSL Consumerrouters !) Dein Backoffice Netz taucht dann also immer mit öffentlichen IPs hinter dem 2600er Router auf.
Das setzt allerdings voraus das du den Server nicht für Windows File- und Druckersharing benutzt, sonst bleibt dir nur das Routen mit der Route auf der FW.
Die NAT Lösung ist erheblich sicherer ! Ebenso den DHCP auf dem Server einzurichten ist keine gute Idee. Als Gesamtlösung ist es dann besser diesen Server mit ins 192.168.1.0er Segment zu verlegen.
Geht es dir nur ums DHCP fürs Clientsegment kann das auch der 2600er Cisco erledigen, denn der hat einen DHCP Server an Board und muss nur dafür konfiguriert werden !
Generell gilt alles an Office Funktionen sollte direkt ins 192.168.1.0er Segment verlegt werden.
Ich denke mal das ist im Groben was du willst oder hab ich was übersehen ???
Ich sehe in deiner Zeichnung oben
...(2600)---Switch2_LAN(192.168.1.xxx)Clients DHcP))----(Switch3_Lan(62.x.x.xx)Clients C-Class))
aber immer noch Clients die im Backoffice Netz 192.168..1.x mit 62er Adressen fahren. Das geht natürlich nicht mehr sofern du sie nicht sauber gesubnettet hast und so vom IP Segment an Switch-1 getrennt hast !!
Oder ist das ein komplettes anderes 62er Subnetz im Backoffice ?!
Ich vermute mal ja, da wie du ja weisst 62.x.x.x eine Class A Adresse ist und wahrscheinlich mit einer Class C Subnetzmaske (24 Bit) das Netz gesubnettet hast.
Ich kann mir aber nicht wirklich vorstellen das du ein komplettes Class A Netz zur freien Verfügung hast, denn soweit gibt es wohl kaum noch öffentliche Class A Netze. Es sei denn du bist selber ein Carrier....
Also das ist noch etwas diffus !
So oder so ist das nur machbar wenn du sauber gesubnettest hast. Dann gibts aber wieder das Problem das du am 2600er Cisco mit secondary IP Adresses arbeiten musst was eigentlich ein Tabu ist denn der IP Standard sieht sowas nicht vor und du handelst dir damit Probleme ein.
Wozu benötigst du im Backoffice 62.x.x.x Adressen wenn du sie am Cisco Problemlos NATten kannst auf 62er Adressen im heissen Bereich an Switch-1 ??? Generell sollten im Backoffice ha immer RFC 1918 eingesetzt werden !!!
So oder so müsstest du dann mit 62er Adresse auch zwangsweise NAT im 26er machen wenn diese 62er Subnetze nicht auf dich registriert sind !!! Ein umso gefährlichers Szenario...
Dieser Punkt ist noch unklar der Rest ist aber soweit ok.
Die DHCP Server Konfig auf dem Cisco sieht so aus:
ip dhcp pool 0
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 194.25.2.129
Du musst aber unbedingt Geräte mit statischen Adressen die du nicht vergeben willst bzw. darfst excluden damit es nicht zu einer Doppelvergabe kommt !!!
so geht das:
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.x
ip dhcp excluded-address 192.168.1.x
usw.
Ist doch ganz easy im IOS
...(2600)---Switch2_LAN(192.168.1.xxx)Clients DHcP))----(Switch3_Lan(62.x.x.xx)Clients C-Class))
aber immer noch Clients die im Backoffice Netz 192.168..1.x mit 62er Adressen fahren. Das geht natürlich nicht mehr sofern du sie nicht sauber gesubnettet hast und so vom IP Segment an Switch-1 getrennt hast !!
Oder ist das ein komplettes anderes 62er Subnetz im Backoffice ?!
Ich vermute mal ja, da wie du ja weisst 62.x.x.x eine Class A Adresse ist und wahrscheinlich mit einer Class C Subnetzmaske (24 Bit) das Netz gesubnettet hast.
Ich kann mir aber nicht wirklich vorstellen das du ein komplettes Class A Netz zur freien Verfügung hast, denn soweit gibt es wohl kaum noch öffentliche Class A Netze. Es sei denn du bist selber ein Carrier....
Also das ist noch etwas diffus !
So oder so ist das nur machbar wenn du sauber gesubnettest hast. Dann gibts aber wieder das Problem das du am 2600er Cisco mit secondary IP Adresses arbeiten musst was eigentlich ein Tabu ist denn der IP Standard sieht sowas nicht vor und du handelst dir damit Probleme ein.
Wozu benötigst du im Backoffice 62.x.x.x Adressen wenn du sie am Cisco Problemlos NATten kannst auf 62er Adressen im heissen Bereich an Switch-1 ??? Generell sollten im Backoffice ha immer RFC 1918 eingesetzt werden !!!
So oder so müsstest du dann mit 62er Adresse auch zwangsweise NAT im 26er machen wenn diese 62er Subnetze nicht auf dich registriert sind !!! Ein umso gefährlichers Szenario...
Dieser Punkt ist noch unklar der Rest ist aber soweit ok.
Die DHCP Server Konfig auf dem Cisco sieht so aus:
ip dhcp pool 0
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 194.25.2.129
Du musst aber unbedingt Geräte mit statischen Adressen die du nicht vergeben willst bzw. darfst excluden damit es nicht zu einer Doppelvergabe kommt !!!
so geht das:
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.x
ip dhcp excluded-address 192.168.1.x
usw.
Ist doch ganz easy im IOS
OK, hab deine Zeichnung gesehen. Ja, so ist der ideale Zustand wie in der Zeichnung und dann ist IP technisch alles sauber und alles sollte problemlos klappen.
NAT oder PAT musst du in jedem Falle machen auf dem 2600er (...und klar kann der das ohne Probleme !!!) denn deine Backoffice Clients wollen ja a.) ins Internet und b.) die Server in der öffentlichen Zone administrieren.
Ausserdem kannst du so problemlos deine vollen 16 Adressen für Endgeräte nutzen in der 62er Zone.
Warum ist das ein Problem das du den Provider Router nicht konfigurieren kannst ??? Der ist doch transparent und an den musst du auch gar nicht ran mit deinem neuen Design...wo ist also das Problem mit diesem Router ?
NAT oder PAT musst du in jedem Falle machen auf dem 2600er (...und klar kann der das ohne Probleme !!!) denn deine Backoffice Clients wollen ja a.) ins Internet und b.) die Server in der öffentlichen Zone administrieren.
Ausserdem kannst du so problemlos deine vollen 16 Adressen für Endgeräte nutzen in der 62er Zone.
Warum ist das ein Problem das du den Provider Router nicht konfigurieren kannst ??? Der ist doch transparent und an den musst du auch gar nicht ran mit deinem neuen Design...wo ist also das Problem mit diesem Router ?
Nee, nee lass mal stecken das Forum hier ist doch kostenlos
Eine PAT Konfig auf dem 2600 sieht einfach erstmal so aus. Adressen hab ich jetzt mal geraten, die müsstest du natürlich durch welche von dir ersetzen !
Das ist jetzt erstmal nur eine PAT Konfig, die den Clients im Backoffice Segment generell Internet Zugang und Zugang zu den Servern in der 62er Zone gewährt.
Für einen NAT Zugang von extern müsste man mal wissen wie du den Zugang haben willst. Als dedizierte statische NAT Zuweisung, was dich dann pro Client eine 62er Adresse kostet, oder global, allerdings kann es dann sein, das du dann mit unterschiedlichen Ports pro Anwendung arbeiten musst.
In jedem Fall besser ist es einen zentralen VPN Zugangspunkt für alle Clients haben. Das kostet dich dann lediglich eine Adresse für alle remote Clients. Wenn du eine IOS Crypto Version auf dem 2600er hast kann man das direkt auch gleich da abfackeln. Sonst setzt du dir einen alten PC mit Linux und OpenVPN ins Backoffice und fackelst das zum Nulltarif damit ab
Hier ist die PAT Konfig für deinen 2600er:
interface Ethernet0
description Local Ethernet Backoffice
ip address 192.168.1.254 255.255.255.0
ip access-group 102 in (Wichtig: Filtert Windows Broadcasts !)
ip nat inside
!
interface Ethernet1
description Ethernet 62er DMZ Zone
ip address 62.100.198.35 255.255.255.248
ip nat outside
ip nat inside source list 101 interface ethernet1 overload
ip route 0.0.0.0 0.0.0.0 62.100.198.x (.x = Adresse der FW !)
no ip http server
no cdp enable
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any any
Eine PAT Konfig auf dem 2600 sieht einfach erstmal so aus. Adressen hab ich jetzt mal geraten, die müsstest du natürlich durch welche von dir ersetzen !
Das ist jetzt erstmal nur eine PAT Konfig, die den Clients im Backoffice Segment generell Internet Zugang und Zugang zu den Servern in der 62er Zone gewährt.
Für einen NAT Zugang von extern müsste man mal wissen wie du den Zugang haben willst. Als dedizierte statische NAT Zuweisung, was dich dann pro Client eine 62er Adresse kostet, oder global, allerdings kann es dann sein, das du dann mit unterschiedlichen Ports pro Anwendung arbeiten musst.
In jedem Fall besser ist es einen zentralen VPN Zugangspunkt für alle Clients haben. Das kostet dich dann lediglich eine Adresse für alle remote Clients. Wenn du eine IOS Crypto Version auf dem 2600er hast kann man das direkt auch gleich da abfackeln. Sonst setzt du dir einen alten PC mit Linux und OpenVPN ins Backoffice und fackelst das zum Nulltarif damit ab
Hier ist die PAT Konfig für deinen 2600er:
interface Ethernet0
description Local Ethernet Backoffice
ip address 192.168.1.254 255.255.255.0
ip access-group 102 in (Wichtig: Filtert Windows Broadcasts !)
ip nat inside
!
interface Ethernet1
description Ethernet 62er DMZ Zone
ip address 62.100.198.35 255.255.255.248
ip nat outside
ip nat inside source list 101 interface ethernet1 overload
ip route 0.0.0.0 0.0.0.0 62.100.198.x (.x = Adresse der FW !)
no ip http server
no cdp enable
!
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny udp any range netbios-ns netbios-ss any
access-list 102 deny tcp any eq 139 any
access-list 102 permit icmp 192.168.1.0 0.0.0.255 any
access-list 102 permit ip any any