[Cisco78] Nat en geen Nat (DMZ) - Netwerken

zondag 6 februari 2005 20:12

Acties:

Topicstarter

Ik heb een Cisco Soho 78 router op een SDSL lijn. Nu heb ik er een 16 tal ip adressen bij.

Voor alle werkstations wil ik nu NAT gebruiken. (dus iedereen het internet op onder 1 IP).

Er zijn echter ook 4 servers die een publiek IP adres krijgen en dus direct op onder hun eigen IP op het internet zitten (dit is dus een soort DMZ'tje).

Nu heb ik op de site van BBeyond een paar Cisco script bekeken en begrijp niet helemaal welke ik nodig heb.
http://selfcare.bbeyond.nl -> (popup accepteren vanwege een cookie) -> Knowledgebase -> DSL/ Inbel Verbinding -> Uw router / modem

Er staan een aantal voor NoNat, NoDHCP, etc. Ik heb echter Nat nodig EN geen-Nat.
(Een DHCP server heb ik al draaien).

Wat ik heb gedaan is een standaard NoNatNoDHCP script gepakt en de Ethernet0 twee ip adressen gegeven, een 80.x.x.x (publiek ip) en een 192.168.0.254.
Toen heb ik voor de Interface0 en de Dialer0 de "ip nat inside" en "ip nat outside" aan gezet.
Ook heb ik deze 2 regels toegevoegd:
"access-list 101 permit ip 192.168.0.1 0.0.0.255 any"
"ip nat inside source list 101 interface Dialer0 overload"

Ik zag nog een aantal andere verschillen tussen de configs (no ip proxy arp) en (no peer default ip address) maar dat heeft niet zozeer met mijn 'probleem' te maken tot zover ik weet.

Als ik nu een werkstation pak (bijv 192.168.0.57) en ik ga pingen naar 194.134.5.5 (dns server van euronet) dan krijg ik: "Antwoord van 80.x.x.x : Doelhost niet bereikbaar", die 80.x.x.x=mijn eerste ip adres van de router.

Heeft iemand een oplossing of denk ik te moeilijk ?

[ Voor 8% gewijzigd door Roel Broersma op 06-02-2005 20:15 ]

...don't know what should be here...

maandag 7 februari 2005 00:11

Acties:

Adze

CCNP !

Lijkt me niet een probleem met NAT, maar eerder met routering. Heb je wel een default route naar inet staan ?

"sh ip rou"

maandag 7 februari 2005 09:36

Acties:

Roel Broersma

Topicstarter

Dit is dus het script waarin ik de wijzigingen heb aangebracht zoals ik zei in mijn post.

code:

!
version 12.2
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname SOHO78
!
enable secret >>>>(B1)<<<< ISP specific
!
ip subnet-zero
no ip domain-lookup
!
!
interface Ethernet0
 no shutdown
 ip address >>>>(C1)<<<< >>>>(C3)<<<< From ISP
 no ip route-cache
 no keepalive
!
interface ATM0
 no shutdown
 no ip address
 no ip route-cache
 no atm ilmi-keepalive
 pvc 0 0/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex B
 dsl linerate AUTO
!
interface Dialer0
 ip unnumbered Ethernet0
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username >>>>(C4)<<<< password >>>>>(C5)<<<<<
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
!
dialer-list 1 protocol ip permit
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 password >>>>(B1)<<<<
 login
!
scheduler max-task-time 5000
end

>>>>(B1)<<<<  Password used for access to CPE. Valid for telnet, console and enable. Supplied by ISP in interconnect form
>>>>(B2)<<<<  IP address of DNS server (DHCP only) Supplied by ISP in interconnection form

>>>>(C1)<<<<  IP address of ethernet port of CPE: supplied by the ISP it is the first valid IP address of the supplied routed subnet 
>>>>(C2)<<<<  Network address for DHCP server (usually network address of C1)
>>>>(C3)<<<<  Subnet mask for Ethernet port of CPE and range for DHCP server. Supplied by ISP
>>>>(C4)<<<<  PPP username supplied by end user (from letter of ISP)
>>>>(C5)<<<<  PPP password supplied by end user (from letter of ISP)

...don't know what should be here...

maandag 7 februari 2005 10:42

Acties:

soganta

Welke IOS versie heb je? DMZ wordt namelijk pas vanaf 12.3(7)XR1 ondersteund.

maandag 7 februari 2005 13:57

Acties:

Roel Broersma

Topicstarter

De laatste die er voor de SOHO78 beschikbaar is heb ik er 2 weken geleden in gezet.

Volgens mij is het een 12.3 (4) of iets dergelijks, maar ik zal het vanavond even kijken.

Als mijn IOS geen DMZ ondersteund en ik kan er geen nieuwere IOS in zetten, is er dan een andere oplossing ? (Bijv. met NAT inside, outside, etc. zoals ik hierboven al had gezegt ??)

...don't know what should be here...

maandag 7 februari 2005 17:20

Acties:

Adze

CCNP !

Ik denk dat onderstaande configuratie wel werkt... Echter niet getest. Misschien vinden de windows doosjes het niet zo leuk al de ingestelde gateway 192.168.0.254 is, terwijl ze zelf geen ip adres in dat netwerk hebben. FF proberen.

de a.b.c.d routes in de config, zijn de publieke ip adressen die je kreeg van je ISP.

code:

version 12.2
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname SOHO78
!
enable secret >>>>(B1)<<<<
!
ip subnet-zero
no ip domain-lookup
!
interface Ethernet0
 description --> LAN
 ip address 192.168.0.254 255.255.255.0
 no shutdown
 ip route-cache
 keepalive
 ip nat inside
!
interface ATM0
 description --> WAN
 no shutdown
 no ip address
 ip route-cache
 no atm ilmi-keepalive
 pvc 0 0/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex B
 dsl linerate AUTO
!
interface Dialer0
 ip address >>>>(C1)<<<< >>>>(C3)<<<<
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username >>>>(C4)<<<< password >>>>>(C5)<<<<<
 ip nat outside
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route a.b.c.d 255.255.255.255 Ethernet0
ip route e.f.g.h 255.255.255.255 Ethernet0
ip route i.j.k.l 255.255.255.255 Ethernet0
ip route m.n.o.p 255.255.255.255 Ethernet0
ip route q.r.s.t 255.255.255.255 Ethernet0
ip route u.v.w.x 255.255.255.255 Ethernet0
no ip http server
!
dialer-list 1 protocol ip permit
ip nat inside source list 101 interface Dialer0 overload
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
!
line con 0
 transport input none
 stopbits 1
line vty 0 4
 password >>>>(B1)<<<<
 login
!
end

maandag 7 februari 2005 22:41

Acties:

Meester_J

Adze15021979 schreef op maandag 07 februari 2005 @ 17:20:
Ik denk dat onderstaande configuratie wel werkt... Echter niet getest. Misschien vinden de windows doosjes het niet zo leuk al de ingestelde gateway 192.168.0.254 is, terwijl ze zelf geen ip adres in dat netwerk hebben. FF proberen.

dat probleem hebben we dus opgelost door een secondary ip adres op de ethernet interface te zetten. zo heeft alles dus een gateway in zijn eigen subnet.

dinsdag 8 februari 2005 01:28

Acties:

Roel Broersma

Topicstarter

Adze15021979 schreef op maandag 07 februari 2005 @ 17:20:
....
de a.b.c.d routes in de config, zijn de publieke ip adressen die je kreeg van je ISP.
...

Lijkt me toch niet handig als ik voor elke server die ik erbij plaats een nieuwe routing regel moet toevoegen ??

...don't know what should be here...

dinsdag 8 februari 2005 10:21

Acties:

Adze

CCNP !

Meester_J schreef op maandag 07 februari 2005 @ 22:41:
dat probleem hebben we dus opgelost door een secondary ip adres op de ethernet interface te zetten. zo heeft alles dus een gateway in zijn eigen subnet.

Roel Broersma schreef op dinsdag 08 februari 2005 @ 01:28:
Lijkt me toch niet handig als ik voor elke server die ik erbij plaats een nieuwe routing regel moet toevoegen ??

Ik was ervan uitgegaan dat je publieke ip-adressen hebt die niet aaneengesloten zijn. Niet een range dus. Wanneer dit niet het geval is, dan had ik het ook anders opgelost. Heb je echter wel allemaal afzonderlijke publieke ip-adressen, dan zou ik bovenstaande toch (of iets wat er op lijkt) proberen.

dinsdag 8 februari 2005 13:25

Acties:

Roel Broersma

Topicstarter

Ik heb inderdaad een aaneengesloten reeks, begint bij 82.x.x.144 met subnet 255.255.255.240.

Ik heb nu 2 adressen aan de Ethernet0 gegeven, een 192.168.0.254 en 82.x.x.145.

Ik heb de NATnoDHCP config gepakt en die werkt verder, wanneer ik een werkstation in mijn 192.168.0.x pak kan deze internetten, ik zie vervolgens dat ik onder IP: 82.x.x.144 op internet zit.

Als ik een server een publiek IP geef: 82.x.x.148 dan komt deze ook gewoon onder 82.x.x.148 op internet.

Toch moet er een betere manier zijn ? Want de servers gaan nu wel via een verkapte NAT ? (?)

Ik heb trouwens IOS: 12.3(13) dacht ik.

...don't know what should be here...

dinsdag 8 februari 2005 15:09

Acties:

Adze

CCNP !

Roel Broersma schreef op dinsdag 08 februari 2005 @ 13:25:
Toch moet er een betere manier zijn ? Want de servers gaan nu wel via een verkapte NAT ? (?)

Verkapte NAT ??? Nee hoor ! De access-list geeft immers aan wat genat moet worden en wat niet. Laat je niet van de wijs brengen door het ip nat inside en outside op de interfaces. Er zou alleen een betere manier zijn als je meerdere ethernet interfaces had... Verder is dit DE manier om het te doen.

Je hebt dus geen probleem meer begrijp ik hier uit....

[ Voor 73% gewijzigd door Adze op 08-02-2005 15:13 ]

dinsdag 8 februari 2005 16:52

Acties:

Roel Broersma

Topicstarter

Adze15021979, dat hoor ik nou graag. Ik was inderdaad in de war door die NAT INSIDE en OUTSIDE op de interfaces.

Blij dat je zegt dat dit de enige goede manier is wanneer ik maar 1 Ethernet Interface heb, dan wete ik tenminste dat dat goed zit / niet beter kan.

ip route a.b.c.d 255.255.255.255 Ethernet0
ip route e.f.g.h 255.255.255.255 Ethernet0
ip route i.j.k.l 255.255.255.255 Ethernet0
ip route m.n.o.p 255.255.255.255 Ethernet0
ip route q.r.s.t 255.255.255.255 Ethernet0
ip route u.v.w.x 255.255.255.255 Ethernet0

PS. Ik heb dus de manier ZONDER de extra routes (zoals je eerder aangaf), dat is dan toch goed?

Nog een vraagje:

Die NAT/ noNAT configs verschillen op een paar regels nog van elkaar, de ene keer zeggen ze voor de Dialer0: "ip unnumbered Ethernet0" (noNAT) en de andere keer: "ip address negotiated" (NAT).

Ook zeggen ze de ene keer (voor Ethernet0): "no ip route-cache" en "no keepalive" (noNAT) terwijl in de andere config staat: "no ip proxy-arp" (NAT).

Ook staat er soms: "no peer default ip address" (NAT) voor de Dialer0 of "no ip route-cache" voor de ATM0 (noNAT).

Maakt het ene juist verschil bij veel traffic of nat sessies, en het andere juist weer niet ? Iemand tips. Ik heb bij cisco er het e.e.a. over gelezen maar het verhelderd niet echt. Ook BBeyond kan me niet zeggen waarom wel/niet de instellingen te kiezen.

...don't know what should be here...

dinsdag 8 februari 2005 18:04

Acties:

Adze

CCNP !

Roel Broersma schreef op dinsdag 08 februari 2005 @ 16:52:
PS. Ik heb dus de manier ZONDER de extra routes (zoals je eerder aangaf), dat is dan toch goed?

Ja. Zet op je Ethernet0 interface 82.x.x.145/28 als primair en 192.168.0.254/24 als secundair. Je Dialer interface op "ip unnumbered Ethernet0".

Roel Broersma schreef op dinsdag 08 februari 2005 @ 16:52:
Die NAT/ noNAT configs verschillen op een paar regels nog van elkaar, de ene keer zeggen ze voor de Dialer0: "ip unnumbered Ethernet0" (noNAT) en de andere keer: "ip address negotiated" (NAT).

Er is een groot verschil tussen unnumbered en negotiated. Bij unnumbered maakt de interface gebruik van het ip adres van een andere interface. Dit spaart ip adressen. Echter moet je het in de praktijk alleen gebruiken op point-to-point links (zoals de Dialer interface). Bij negotiated probeert de interface zijn ip adres te krijgen middels een DHCP server.

De reden dat dit verschilt in de NAT/noNAT configs van bbeyond is: De ene keer een private range ip adres op de ethernet interface staat en dus het ip adres op de Dialer interface via de DHCP server van BBeyond komt. De andere keer een public range ip adres op de ethernet interface, die "gekopieerd" wordt voor de Dialer interface.

Roel Broersma schreef op dinsdag 08 februari 2005 @ 16:52:
Ook zeggen ze de ene keer (voor Ethernet0): "no ip route-cache" en "no keepalive" (noNAT) terwijl in de andere config staat: "no ip proxy-arp" (NAT).

(no) ip route-cache bepaalt of pakket die deze interface verlaten worden ge- "processed-switched" of ge- "flow-switched". De ene methode wordt het hele pakket door de processor gehaald, de andere methode worden enkele velden van het ip pakket gebruikt om de next-hop te bepalen.

NAT wordt sowieso ge- "processed-switched".

Bij (no) keepalive maakt de router wel of niet gebruik van keepalive frames die hij "op" de lijn zet. Wanneer de router zijn eigen frames terug ziet, dan is de link "up". Eigenlijk zou je (als het kan) altijd keepalives moeten gebruiken.

Roel Broersma schreef op dinsdag 08 februari 2005 @ 16:52:
Ook staat er soms: "no peer default ip address" (NAT) voor de Dialer0 of "no ip route-cache" voor de ATM0 (noNAT).

Het commando "no peer default ip address" betekend dat de router tijdens het verkrijgen van een ip adres middels dhcp geen gebruik maakt van de default-gateway waarde die de router van de dhcp server krijgt. We geven dit immers zelf statisch aan.

[ Voor 28% gewijzigd door Adze op 08-02-2005 18:38 ]

dinsdag 8 februari 2005 20:29

Acties:

Meester_J

Adze15021979 schreef op dinsdag 08 februari 2005 @ 18:04:
[...]

Ja. Zet op je Ethernet0 interface 82.x.x.145/28 als primair en 192.168.0.254/24 als secundair. Je Dialer interface op "ip unnumbered Ethernet0".

[...]

Er is een groot verschil tussen unnumbered en negotiated. Bij unnumbered maakt de interface gebruik van het ip adres van een andere interface. Dit spaart ip adressen. Echter moet je het in de praktijk alleen gebruiken op point-to-point links (zoals de Dialer interface). Bij negotiated probeert de interface zijn ip adres te krijgen middels een DHCP server.

De reden dat dit verschilt in de NAT/noNAT configs van bbeyond is: De ene keer een private range ip adres op de ethernet interface staat en dus het ip adres op de Dialer interface via de DHCP server van BBeyond komt. De andere keer een public range ip adres op de ethernet interface, die "gekopieerd" wordt voor de Dialer interface.

klopt! dat zie je ook als je : show ip int brief doet.
dan heeft de dialer ineens hetzelfde ip als de ethernet interface