Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

SNAT und DNAT auf einer CISCO

Mitglied: Manfred15

Manfred15 (Level 1) - Jetzt verbinden

13.12.2013 um 08:18 Uhr, 2713 Aufrufe, 5 Kommentare, 1 Danke

Hallo,
habe ein Verständnisproblem mit den Konfigurationen auf einer CISCO, eventuell kann mir jemand weiterhelfen. Ich habe die Frage gestern schon etwas umständlicher formuliert, aber eigentlich ist die Aufgabe relativ einfach:

Ich benötige ein

SNAT für eine Kommunikation nach Extern von einem speziellen Host

und ein

DNAT bzw. Forwarding für eine Kommunikation nach Intern zu einem anderen speziellen Host

Dies wird deshalb so gebraucht, damit wir flexibel intern die IPs wechseln können und für den Partner immer gleiche IPs zur Verfügung stehen.

Irgendwie wird dies doch sicherlich über ip nat inside source static oder dergleichen gehen, aber welcher Aufruf ist für diese beiden Fälle notwendig? Ein Wechsel von Ports ist nicht nötig. Die Ports bleiben bei der Kommunikation unberührt.
Mitglied: aqui
13.12.2013, aktualisiert um 11:21 Uhr
Eigentlich ist das kinderleicht möglich. Das Kommando wie z.B.:
ip nat inside source static 172.16.1.200 212.1.47.23
Setzt z.B. statisch die interne IP 172.16.1.212 auf die externe um die an 2ter Stelle steht.
Frage ist was du genau erreichen willst, da ist deine Beschreibung oben etwas diffus.
Ansonsten hilft die wie immer die eigentlich gute NAT Doku auf der Herstellerseite:
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...

Was aus deinem Doppelpost unten völlig unverständlich ist ist die Aussage: "...intern werden die beiden Server auf x.y.z.10 zusammengefasst"
Was ist damit IP bzw. Netzwerk technisch genau gemeint ?? Normalerweise ist das Unsinn, es sei denn diese Server arbeiten in einem Cluster oder mit einem Load Balancer und mit einer virtuellen IP die beide sharen oder über den LB sharen, dann würde so eine Aussage Sinn machen.
Allerdings erreicht man beide Server dann auch mit dieser einzigen VIP und müsste auch nur DIE NATen und nicht 2 Adressen. Wie gesagt…etwas diffus und konfus das ganze ?!
Bitte warten ..
Mitglied: Manfred15
13.12.2013 um 13:59 Uhr
Hi AQUI,

sorry für den Doppelpost, ich dachte ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen.

Also, wir haben momentan zwei Server, die für eine gehostete Anwendung bei einem Partner verschiedene Dienste ausführen.
Server 1 öffnet nur aktiv eine Verbindung zum Partnernetz auf Port 23. Server 1 hat selbst keine Dienste, die auf irgendwelche Anfragen horchen / warten.
Server 2 kommuniziert NICHT aktiv sondern wartet nur auf Anfragen vom Partnernetz und beantwortet / quittiert diese.

Um unser Netz abzusichern ist zwischen diesen beiden Netzen ein Router aufgestellt, der eine komplette IP-Übersetzung von unseren IPs der beiden Server auf die IPs durchführt, die beim Partner lizensiert sind. Nun aber sollen beide Dienste auf dem neueren Server 1 zusammengefasst werden und der alte Server 2 irgendwann entfallen sobald alles einwandfrei läuft. Natürlich könnten wir nun einfach die lizensierten IPs beim Partner ändern lassen damit er auch nur mit einer IP spricht. Da die Programme vom ihm aber nicht sonderlich stabil gewesen sind (in der Vergangenheit) und der Wechsel der IPs nicht immer auf Zuruf funktionierte möchten wir gerne die beiden IPs aus Sicht des Partners beibehalten und das Routing auf der CISCO entsprechend flexibel gestalten können. Also wenn es uns in den Sinn kommt, auch die beiden Dienste auf unterschiedlichen Servern installieren.

Bei einer ASTARO, mit der ich mich besser auskenne, hätte ich zwei NAT-Regel in der Appliance definiert.

Für Server 1 ein SNAT für Port 23 und das Partnernetz damit die interne Source-IP auf die beim Partner lizensierte äußere IP umgeschrieben wird.
Für Server 2 ein DNAT für den Port vom Partnernetz damit die beim Partner lizensierte Destination-IP auf die interne IP umgeschrieben wird.

Ich hoffe, dass es nun etwas verständlicher rüber gekommen ist.
Bitte warten ..
Mitglied: aqui
13.12.2013, aktualisiert um 14:49 Uhr
.. ."ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen."
Generell ja, aber dann den alten Post bitte löschen.

OK, was dein NAT anbetrifft kannst du das beim Cisco ähnlich lösen. Du musst das NAT Statement dann auf den Port erweitern ala
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
ist dann z.B. das Kommando (hier im Beispiel Port TCP 80). Dann rennt der NAT Prozess nur für diesen Port. Entsprechend kann man das für weitere Ports dann auch machen.
Das obige Kommando macht ein generelle NAT, also alles was von der IP x kommt wird auf die IP y umgesetzt. Mit dem Port spezifischen Kommando wird das dann eben nur auf TCP 80 oder wie bei dir TCP 23 eingegrenzt.
Damit sollte sich die Anforderung von dir dann leicht lösen lassen.
Ggf. wäre nochmal eine Skizze hilfreich wie das neue Szenario dann aussehen soll. Generell ist es ja völlig irrelevant ob Cisco, Astaro oder was auch immer dazwischen ist, denn die NAT Regeln zur Lösung sind ja immer gleich, egal welcher Hersteller.
Man muss sie lediglich in die richtige Syntax giessen.
Bitte warten ..
Mitglied: Manfred15
03.01.2014 um 10:51 Uhr
Hallo zusammen,

nun sind zwei Wochen Winterferien um und ich komme wieder dazu, mich mit dem Problem zu beschäftigen.
Teil 1 läuft auch soweit, also die DNAT-Geschichte ist nun von einem allgemeinen

ip nat inside source static IP-intern IP-extern

zu

ip nat inside source static tcp IP-intern 4711 IP-extern 4711 extendable

geändert worden und läuft seit Mitte Dezember.

Aber der Telnet-Aufruf, der aktiv von innen getätigt wird bekommt keinen Kontakt wenn ich auch hier

ip nat inside source static tcp IP-intern-2 23 IP-extern-2 23 extendable

eintrage. Und die Hotline vom System sagt, dass definitiv NUR Port 23 zum Einsatz kommt. Das wiederum kann ich nur glauben oder muss mir mal ein Laborsystem hinstellen und dann die Kommunikation überprüfen. Kann eventuell bei meiner Überlegung etwas falsch sein? Port 4711 und Port 23 sind ja jeweils die Destination-Ports. Muss der Aufruf eventuell noch anders erfolgen?
Bitte warten ..
Mitglied: aqui
03.01.2014 um 10:58 Uhr
Nein, deine Konfig ist absolut richtig so.
Hast du mal den NAT Debugger auf dem Cisco eingeschaltet (debug xyz) und dir mal angesehen was mit dem Telnet Packet passiert ??
Sinnvoll wäre auch mal mit dem Wireshark hinter dem NAT Port zu sehen ob da was TCP 23 mäßiges ankommt, was der Fall sein sollte !
Bitte warten ..
Ähnliche Inhalte
Netzwerkgrundlagen

Cisco SNAT mit PANT (Portforwarding bei Overload Host)

Frage von gierigNetzwerkgrundlagen3 Kommentare

Aufgrund Kommentare im diesen Beitrag die OT sind. Thema: Cisco PNAT (Overload) und Portforwarding (SNAT) Laut aqui sollte ein ...

Router & Routing

DNAT unter Windows 10 realisieren

Frage von berndschroedRouter & Routing27 Kommentare

Hallo! Ich hatte schon eine ähnliche Frage gestellt bei der es allerdings nicht zu einer befriedigenden Lösung gekommen ist. ...

Firewall

DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung

Frage von SachellenFirewall11 Kommentare

Guten Morgen liebe Mitglieder, ich hoffe, ihr hattet alle schöne Weihnachten :)) Ich benötige bitte nur noch ganz kurze ...

Firewall

Cisco cisco small business rv215w

Frage von bunticFirewall1 Kommentar

Hallo, ich habe mir vor kurzem ein cisco small business rv215w zugelegt, jetzt zur meine Frage: ich hab 3 ...

Neue Wissensbeiträge
Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 1 TagPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 1 TagSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Batch & Shell
PowerShell Konferenz - Videos online
Information von NetzwerkDude vor 1 TagBatch & Shell

Abend, die Tage werden Videos der Talks von der diesjährigen EU Powershell Konferenz hochgeladen, sind einige Interessante dabei: MFG ...

Windows Update

Windows 10 1903 Updates über Wsus erst nach Auswahl weiterer Produktkategorie

Information von Spirit-of-Eli vor 3 TagenWindows Update6 Kommentare

Moin, den Tipp habe ich hier noch nicht gesehen. Er adressiert all diejenigen, die Windows 10 1903 über einen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
Unerklärlicher Gestank im EDV-Raum - "neues" Gebäude und keine offenkundige Ursache feststellbar!
Frage von VGem-eErkennung und -Abwehr29 Kommentare

Moin Kollegen, ich habe seit heute Morgen das Problem, dass in unserem EDV-Raum ein total unerklärbarer Gestank herrscht! Ich ...

Verschlüsselung & Zertifikate
Bitlocker oder Veracrypt unter Win10? Was ist hinsichtlich Performance, Sicherheit, Backup und Kompatibilität besser?
Frage von PluwimVerschlüsselung & Zertifikate23 Kommentare

Guten Morgen, bei mir wird demnächst eine neue Platte fällig, weil ich mein Win7-System auf Win10 umstellen will. D.h. ...

LAN, WAN, Wireless
Warum ist die Datenübertragung per WLAN zu bestimmten Servern sehr langsam?
Frage von PluwimLAN, WAN, Wireless17 Kommentare

Hallo Netzwerker, beim Einrichten des Notebooks für einen Bekannten fiel mir auf, dass Downloads per WLAN teilweise extrem lahm ...

Router & Routing
Microsoft Server: Kopierlast auf bestimmte NIC legen für Backup
gelöst Frage von LollipopRouter & Routing15 Kommentare

Guten Tag Mit zwei Servern machen wir eine einfache Datenspiegelung als Teil unseres Backup-Systems. Dazu wünsche ich mir einen ...