manfred15
Goto Top

SNAT und DNAT auf einer CISCO

Hallo,
habe ein Verständnisproblem mit den Konfigurationen auf einer CISCO, eventuell kann mir jemand weiterhelfen. Ich habe die Frage gestern schon etwas umständlicher formuliert, aber eigentlich ist die Aufgabe relativ einfach:

Ich benötige ein

SNAT für eine Kommunikation nach Extern von einem speziellen Host

und ein

DNAT bzw. Forwarding für eine Kommunikation nach Intern zu einem anderen speziellen Host

Dies wird deshalb so gebraucht, damit wir flexibel intern die IPs wechseln können und für den Partner immer gleiche IPs zur Verfügung stehen.

Irgendwie wird dies doch sicherlich über ip nat inside source static oder dergleichen gehen, aber welcher Aufruf ist für diese beiden Fälle notwendig? Ein Wechsel von Ports ist nicht nötig. Die Ports bleiben bei der Kommunikation unberührt.

Content-ID: 224432

Url: https://administrator.de/forum/snat-und-dnat-auf-einer-cisco-224432.html

Ausgedruckt am: 22.12.2024 um 15:12 Uhr

aqui
aqui 13.12.2013 aktualisiert um 11:21:41 Uhr
Goto Top
Eigentlich ist das kinderleicht möglich. Das Kommando wie z.B.:
ip nat inside source static 172.16.1.200 212.1.47.23
Setzt z.B. statisch die interne IP 172.16.1.212 auf die externe um die an 2ter Stelle steht.
Frage ist was du genau erreichen willst, da ist deine Beschreibung oben etwas diffus.
Ansonsten hilft die wie immer die eigentlich gute NAT Doku auf der Herstellerseite:
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...

Was aus deinem Doppelpost unten völlig unverständlich ist ist die Aussage: "...intern werden die beiden Server auf x.y.z.10 zusammengefasst"
Was ist damit IP bzw. Netzwerk technisch genau gemeint ?? Normalerweise ist das Unsinn, es sei denn diese Server arbeiten in einem Cluster oder mit einem Load Balancer und mit einer virtuellen IP die beide sharen oder über den LB sharen, dann würde so eine Aussage Sinn machen.
Allerdings erreicht man beide Server dann auch mit dieser einzigen VIP und müsste auch nur DIE NATen und nicht 2 Adressen. Wie gesagt…etwas diffus und konfus das ganze ?!
Manfred15
Manfred15 13.12.2013 um 13:59:39 Uhr
Goto Top
Hi AQUI,

sorry für den Doppelpost, ich dachte ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen.

Also, wir haben momentan zwei Server, die für eine gehostete Anwendung bei einem Partner verschiedene Dienste ausführen.
Server 1 öffnet nur aktiv eine Verbindung zum Partnernetz auf Port 23. Server 1 hat selbst keine Dienste, die auf irgendwelche Anfragen horchen / warten.
Server 2 kommuniziert NICHT aktiv sondern wartet nur auf Anfragen vom Partnernetz und beantwortet / quittiert diese.

Um unser Netz abzusichern ist zwischen diesen beiden Netzen ein Router aufgestellt, der eine komplette IP-Übersetzung von unseren IPs der beiden Server auf die IPs durchführt, die beim Partner lizensiert sind. Nun aber sollen beide Dienste auf dem neueren Server 1 zusammengefasst werden und der alte Server 2 irgendwann entfallen sobald alles einwandfrei läuft. Natürlich könnten wir nun einfach die lizensierten IPs beim Partner ändern lassen damit er auch nur mit einer IP spricht. Da die Programme vom ihm aber nicht sonderlich stabil gewesen sind (in der Vergangenheit) und der Wechsel der IPs nicht immer auf Zuruf funktionierte möchten wir gerne die beiden IPs aus Sicht des Partners beibehalten und das Routing auf der CISCO entsprechend flexibel gestalten können. Also wenn es uns in den Sinn kommt, auch die beiden Dienste auf unterschiedlichen Servern installieren.

Bei einer ASTARO, mit der ich mich besser auskenne, hätte ich zwei NAT-Regel in der Appliance definiert.

Für Server 1 ein SNAT für Port 23 und das Partnernetz damit die interne Source-IP auf die beim Partner lizensierte äußere IP umgeschrieben wird.
Für Server 2 ein DNAT für den Port vom Partnernetz damit die beim Partner lizensierte Destination-IP auf die interne IP umgeschrieben wird.

Ich hoffe, dass es nun etwas verständlicher rüber gekommen ist.
aqui
aqui 13.12.2013 aktualisiert um 14:49:09 Uhr
Goto Top
..."ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen."
Generell ja, aber dann den alten Post bitte löschen.

OK, was dein NAT anbetrifft kannst du das beim Cisco ähnlich lösen. Du musst das NAT Statement dann auf den Port erweitern ala
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
ist dann z.B. das Kommando (hier im Beispiel Port TCP 80). Dann rennt der NAT Prozess nur für diesen Port. Entsprechend kann man das für weitere Ports dann auch machen.
Das obige Kommando macht ein generelle NAT, also alles was von der IP x kommt wird auf die IP y umgesetzt. Mit dem Port spezifischen Kommando wird das dann eben nur auf TCP 80 oder wie bei dir TCP 23 eingegrenzt.
Damit sollte sich die Anforderung von dir dann leicht lösen lassen.
Ggf. wäre nochmal eine Skizze hilfreich wie das neue Szenario dann aussehen soll. Generell ist es ja völlig irrelevant ob Cisco, Astaro oder was auch immer dazwischen ist, denn die NAT Regeln zur Lösung sind ja immer gleich, egal welcher Hersteller.
Man muss sie lediglich in die richtige Syntax giessen.
Manfred15
Manfred15 03.01.2014 um 10:51:57 Uhr
Goto Top
Hallo zusammen,

nun sind zwei Wochen Winterferien um und ich komme wieder dazu, mich mit dem Problem zu beschäftigen.
Teil 1 läuft auch soweit, also die DNAT-Geschichte ist nun von einem allgemeinen

ip nat inside source static IP-intern IP-extern

zu

ip nat inside source static tcp IP-intern 4711 IP-extern 4711 extendable

geändert worden und läuft seit Mitte Dezember.

Aber der Telnet-Aufruf, der aktiv von innen getätigt wird bekommt keinen Kontakt wenn ich auch hier

ip nat inside source static tcp IP-intern-2 23 IP-extern-2 23 extendable

eintrage. Und die Hotline vom System sagt, dass definitiv NUR Port 23 zum Einsatz kommt. Das wiederum kann ich nur glauben oder muss mir mal ein Laborsystem hinstellen und dann die Kommunikation überprüfen. Kann eventuell bei meiner Überlegung etwas falsch sein? Port 4711 und Port 23 sind ja jeweils die Destination-Ports. Muss der Aufruf eventuell noch anders erfolgen?
aqui
aqui 03.01.2014 um 10:58:30 Uhr
Goto Top
Nein, deine Konfig ist absolut richtig so.
Hast du mal den NAT Debugger auf dem Cisco eingeschaltet (debug xyz) und dir mal angesehen was mit dem Telnet Packet passiert ??
Sinnvoll wäre auch mal mit dem Wireshark hinter dem NAT Port zu sehen ob da was TCP 23 mäßiges ankommt, was der Fall sein sollte !