SNAT und DNAT auf einer CISCO
Hallo,
habe ein Verständnisproblem mit den Konfigurationen auf einer CISCO, eventuell kann mir jemand weiterhelfen. Ich habe die Frage gestern schon etwas umständlicher formuliert, aber eigentlich ist die Aufgabe relativ einfach:
Ich benötige ein
SNAT für eine Kommunikation nach Extern von einem speziellen Host
und ein
DNAT bzw. Forwarding für eine Kommunikation nach Intern zu einem anderen speziellen Host
Dies wird deshalb so gebraucht, damit wir flexibel intern die IPs wechseln können und für den Partner immer gleiche IPs zur Verfügung stehen.
Irgendwie wird dies doch sicherlich über ip nat inside source static oder dergleichen gehen, aber welcher Aufruf ist für diese beiden Fälle notwendig? Ein Wechsel von Ports ist nicht nötig. Die Ports bleiben bei der Kommunikation unberührt.
habe ein Verständnisproblem mit den Konfigurationen auf einer CISCO, eventuell kann mir jemand weiterhelfen. Ich habe die Frage gestern schon etwas umständlicher formuliert, aber eigentlich ist die Aufgabe relativ einfach:
Ich benötige ein
SNAT für eine Kommunikation nach Extern von einem speziellen Host
und ein
DNAT bzw. Forwarding für eine Kommunikation nach Intern zu einem anderen speziellen Host
Dies wird deshalb so gebraucht, damit wir flexibel intern die IPs wechseln können und für den Partner immer gleiche IPs zur Verfügung stehen.
Irgendwie wird dies doch sicherlich über ip nat inside source static oder dergleichen gehen, aber welcher Aufruf ist für diese beiden Fälle notwendig? Ein Wechsel von Ports ist nicht nötig. Die Ports bleiben bei der Kommunikation unberührt.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 224432
Url: https://administrator.de/forum/snat-und-dnat-auf-einer-cisco-224432.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
5 Kommentare
Neuester Kommentar
Eigentlich ist das kinderleicht möglich. Das Kommando wie z.B.:
ip nat inside source static 172.16.1.200 212.1.47.23
Setzt z.B. statisch die interne IP 172.16.1.212 auf die externe um die an 2ter Stelle steht.
Frage ist was du genau erreichen willst, da ist deine Beschreibung oben etwas diffus.
Ansonsten hilft die wie immer die eigentlich gute NAT Doku auf der Herstellerseite:
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Was aus deinem Doppelpost unten völlig unverständlich ist ist die Aussage: "...intern werden die beiden Server auf x.y.z.10 zusammengefasst"
Was ist damit IP bzw. Netzwerk technisch genau gemeint ?? Normalerweise ist das Unsinn, es sei denn diese Server arbeiten in einem Cluster oder mit einem Load Balancer und mit einer virtuellen IP die beide sharen oder über den LB sharen, dann würde so eine Aussage Sinn machen.
Allerdings erreicht man beide Server dann auch mit dieser einzigen VIP und müsste auch nur DIE NATen und nicht 2 Adressen. Wie gesagt…etwas diffus und konfus das ganze ?!
ip nat inside source static 172.16.1.200 212.1.47.23
Setzt z.B. statisch die interne IP 172.16.1.212 auf die externe um die an 2ter Stelle steht.
Frage ist was du genau erreichen willst, da ist deine Beschreibung oben etwas diffus.
Ansonsten hilft die wie immer die eigentlich gute NAT Doku auf der Herstellerseite:
http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_ ...
und
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186 ...
Was aus deinem Doppelpost unten völlig unverständlich ist ist die Aussage: "...intern werden die beiden Server auf x.y.z.10 zusammengefasst"
Was ist damit IP bzw. Netzwerk technisch genau gemeint ?? Normalerweise ist das Unsinn, es sei denn diese Server arbeiten in einem Cluster oder mit einem Load Balancer und mit einer virtuellen IP die beide sharen oder über den LB sharen, dann würde so eine Aussage Sinn machen.
Allerdings erreicht man beide Server dann auch mit dieser einzigen VIP und müsste auch nur DIE NATen und nicht 2 Adressen. Wie gesagt…etwas diffus und konfus das ganze ?!
..."ich könnte mit einer besser formulierten Frage eventuell eher zu einem Ergebnis kommen."
Generell ja, aber dann den alten Post bitte löschen.
OK, was dein NAT anbetrifft kannst du das beim Cisco ähnlich lösen. Du musst das NAT Statement dann auf den Port erweitern ala
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
ist dann z.B. das Kommando (hier im Beispiel Port TCP 80). Dann rennt der NAT Prozess nur für diesen Port. Entsprechend kann man das für weitere Ports dann auch machen.
Das obige Kommando macht ein generelle NAT, also alles was von der IP x kommt wird auf die IP y umgesetzt. Mit dem Port spezifischen Kommando wird das dann eben nur auf TCP 80 oder wie bei dir TCP 23 eingegrenzt.
Damit sollte sich die Anforderung von dir dann leicht lösen lassen.
Ggf. wäre nochmal eine Skizze hilfreich wie das neue Szenario dann aussehen soll. Generell ist es ja völlig irrelevant ob Cisco, Astaro oder was auch immer dazwischen ist, denn die NAT Regeln zur Lösung sind ja immer gleich, egal welcher Hersteller.
Man muss sie lediglich in die richtige Syntax giessen.
Generell ja, aber dann den alten Post bitte löschen.
OK, was dein NAT anbetrifft kannst du das beim Cisco ähnlich lösen. Du musst das NAT Statement dann auf den Port erweitern ala
ip nat inside source static tcp 192.168.0.5 80 171.68.1.1 80 extendable
ist dann z.B. das Kommando (hier im Beispiel Port TCP 80). Dann rennt der NAT Prozess nur für diesen Port. Entsprechend kann man das für weitere Ports dann auch machen.
Das obige Kommando macht ein generelle NAT, also alles was von der IP x kommt wird auf die IP y umgesetzt. Mit dem Port spezifischen Kommando wird das dann eben nur auf TCP 80 oder wie bei dir TCP 23 eingegrenzt.
Damit sollte sich die Anforderung von dir dann leicht lösen lassen.
Ggf. wäre nochmal eine Skizze hilfreich wie das neue Szenario dann aussehen soll. Generell ist es ja völlig irrelevant ob Cisco, Astaro oder was auch immer dazwischen ist, denn die NAT Regeln zur Lösung sind ja immer gleich, egal welcher Hersteller.
Man muss sie lediglich in die richtige Syntax giessen.
Nein, deine Konfig ist absolut richtig so.
Hast du mal den NAT Debugger auf dem Cisco eingeschaltet (debug xyz) und dir mal angesehen was mit dem Telnet Packet passiert ??
Sinnvoll wäre auch mal mit dem Wireshark hinter dem NAT Port zu sehen ob da was TCP 23 mäßiges ankommt, was der Fall sein sollte !
Hast du mal den NAT Debugger auf dem Cisco eingeschaltet (debug xyz) und dir mal angesehen was mit dem Telnet Packet passiert ??
Sinnvoll wäre auch mal mit dem Wireshark hinter dem NAT Port zu sehen ob da was TCP 23 mäßiges ankommt, was der Fall sein sollte !