Statisch NAT mit Cisco1812 funktioniert nicht
Traceroute macht Schleife zwischen öffentlichen Router Interface und Gateway
Ich habe einen Cisco 1812 der mittels statischer IP mit unserem Provider verbunden ist. Unser Interface und das Gateway unseres Providers befinden sich im selben Subnetz, FE0 = x.x.x.18
und Gateway x.x.x.17.
Nun habe ich auf die x.x.x.18 sieben IP-Adressen aus einem anderen Netz geroutet. Eine davon wollte ich nun verwenden und sie auf einen internen Server umleiten. Also habe ich mittels "ip nat inside" diese IP auf meinen Server weitergeleitet. Leider ohne Erfolg. Wenn ich eine Tracertoute auf diese IP mache, bekomme ich eine Schleife. Das Paket springt dauerhaft zwischen FE0 und Gateway hin und her bis die 30 Abschnitte erreicht sind.
Mein Router schickt also die Pakete wieder zum Gateway da er wohl keine Ahnung hat was er mit dieser Anfrage anfangen soll.
Für Hilfe wäre ich sehr dankbar
Flohsch
Ich habe einen Cisco 1812 der mittels statischer IP mit unserem Provider verbunden ist. Unser Interface und das Gateway unseres Providers befinden sich im selben Subnetz, FE0 = x.x.x.18
und Gateway x.x.x.17.
Nun habe ich auf die x.x.x.18 sieben IP-Adressen aus einem anderen Netz geroutet. Eine davon wollte ich nun verwenden und sie auf einen internen Server umleiten. Also habe ich mittels "ip nat inside" diese IP auf meinen Server weitergeleitet. Leider ohne Erfolg. Wenn ich eine Tracertoute auf diese IP mache, bekomme ich eine Schleife. Das Paket springt dauerhaft zwischen FE0 und Gateway hin und her bis die 30 Abschnitte erreicht sind.
Mein Router schickt also die Pakete wieder zum Gateway da er wohl keine Ahnung hat was er mit dieser Anfrage anfangen soll.
Für Hilfe wäre ich sehr dankbar
Flohsch
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 75038
Url: https://administrator.de/contentid/75038
Ausgedruckt am: 14.11.2024 um 13:11 Uhr
5 Kommentare
Neuester Kommentar
Du musst eine dieser Adressen ja statisch einer internen zuordnen denn das ist ja vermutlich das was du willst, was gemeinhin unter Virtual host verstanden willst....
Das globale Kommando heisst dann ip nat inside source static <lokale ip> <externe ip>
Oder meinst du ein Port Adress translation so wie es gemeinhin DSL Router machen ??
Das globale Kommando heisst dann ip nat inside source static <lokale ip> <externe ip>
Oder meinst du ein Port Adress translation so wie es gemeinhin DSL Router machen ??
Die Kommandos sind ähnlich. Der Unterschied ist folgender:
ip nat inside source static 192.168.0.231 x.x.x.x:
Übersetzt ALLES an Protokollen was von 192.168.0.231 kommt an die x.x.x.x Adresse.
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
Diese Kommando übersetz ausschliesslich nur TCP Port 25 Traffic von der 192.168.0.231 Adresse auf die x.x.x.x Adresse. Also hier lässt der NAT Prozess ausschliesslich NUR SMTP (Mail) Traffic durch sonst nichts !
Willst du also von dem Server von aussen auch per POP3 Emails abholen scheitert das ! Ebenso natürlich Ping oder Traceroute, denn da nur TCP 25 durchkommt, kommt auch kein ICMP Protokoll durch, was von Ping oder Traceroute gemeinhin benutzt wird. Deshalb rennt sich das tot bei dir.
Im Wirkbetrieb sollte man das auch besser ausgeschaltet lassen, damit man nicht irgendwelchen Ping Scans zum Opfer fällt...
ip nat inside source static 192.168.0.231 x.x.x.x:
Übersetzt ALLES an Protokollen was von 192.168.0.231 kommt an die x.x.x.x Adresse.
ip nat inside source static tcp 192.168.0.231 25 x.x.x.x 25 extendable
Diese Kommando übersetz ausschliesslich nur TCP Port 25 Traffic von der 192.168.0.231 Adresse auf die x.x.x.x Adresse. Also hier lässt der NAT Prozess ausschliesslich NUR SMTP (Mail) Traffic durch sonst nichts !
Willst du also von dem Server von aussen auch per POP3 Emails abholen scheitert das ! Ebenso natürlich Ping oder Traceroute, denn da nur TCP 25 durchkommt, kommt auch kein ICMP Protokoll durch, was von Ping oder Traceroute gemeinhin benutzt wird. Deshalb rennt sich das tot bei dir.
Im Wirkbetrieb sollte man das auch besser ausgeschaltet lassen, damit man nicht irgendwelchen Ping Scans zum Opfer fällt...