Toon posts:

[cisco] 1600 NAT probleem

Pagina: 1
Acties:

donderdag 8 september 2005 16:58

Acties:
  • Praetorian
  • Registratie: November 2001
  • Laatst online: 23-04 16:07

Praetorian

Topicstarter
Hellow,

Ik heb hier op m'n werk van de week een cisco 1600 ISDN router geconfigureerd voor een support verbinding naar duitsland, nu eist het bedrijf waar we op inbellen (en hun bij ons) dat we op de Dialer1 interface een uniek internet adres configureren, dat heb ik gedaan (ik neem ff voor de veiligheid: 111.111.111.111).
Waarom doen ze dit? Omdat ze wereldwijd zoveel klanten hebben en dus als iedereen een internet IP gebruikt van zichzelf hebben ze nooit een probleem. Voor de duidelijkheid, dit adres wordt dus alleen in die ISDN verbinding gebruikt, we kunnen hem in principe ook nog gewoon voor een webserver gebruiken!

Intern hebben we een 10.0.0.0/20 netwerk, de server heeft voor het gemak even 10.0.0.140, op het moment dat de server verkeer stuurt naar duitsland, gaat het via NAT onder ons WAN adres naar duitsland.
(ip nat inside op de Ethernet0 en een ip nat outside op de Dialer1), echter... als hun naar onze server connecten willen ze dat alleen doen op ons WAN adres, het interface adres van mijn Dialer1 dus...

Dat is even een klein stukje wat ik niet voor elkaar krijg, ik heb het al met een route-map geprobeerd op te lossen, maar ik wil (op aanraden van hunzelf) het toch met een NAT static voor elkaar krijgen.

Dus, conf t, en 'ip nat outside source static 111.111.111.111 10.0.0.140'

Wat vergeet ik nu of doe ik nu verkeerd? cisco docu linkt me van hot naar her en ik hoop dat iemand van hier mijn probleem snapt...

donderdag 8 september 2005 18:27

Acties:

Verwijderd

Je zet er geen poortnummer bij, en je mapt 'm de verkeerde kant op.

Probeer eens;

ip nat inside source static tcp 10.0.0.140 80 interface 111.111.111.111 80

(voorbeeld is voor een webserver)

vrijdag 9 september 2005 09:19

Acties:
  • Praetorian
  • Registratie: November 2001
  • Laatst online: 23-04 16:07

Praetorian

Topicstarter
Al het verkeer voor 10.0.0.140 moet gemapt worden, dus heb ik het volgende gedaan:

ip nat inside source static 10.0.0.140 111.111.111.111
(interface kent hij niet)

Nu is het even wachten op Duitsland voordat ze het weer gaan proberen, zal halverwege de ochtend zijn denk ik!

Bedankt voor het er op wijzen dat ik hem de verkeerde kant op mapte, hoe fout....

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81

!
version 12.0
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname Router-ISDN
!
logging buffered 10000 debugging
aaa new-model
aaa authentication login default local-case
aaa authentication ppp default local-case
aaa authorization console
aaa authorization exec default local
aaa authorization network default if-authenticated
enable secret 5 *password*
!
username admin privilege 15 password 7 *password*
username cross password 7 *password*
ip subnet-zero
no ip domain-lookup
isdn switch-type basic-net3
clock timezone GMT 1
clock summer-time GMT recurring last Sun Mar 2:00 last Sun Oct 2:00
!
!
!
interface Ethernet0
 ip address 172.17.2.2 255.255.255.0
 no ip directed-broadcast
 ip nat inside
!
interface BRI0
 ip address negotiated
 no ip directed-broadcast
 encapsulation ppp
 dialer pool-member 1 max-link 2
 isdn switch-type basic-net3
 isdn tei-negotiation first-call
 no cdp enable
 ppp authentication chap pap callin
 ppp multilink
!
interface Dialer1
 ip address 111.111.111.111 255.255.255.0
 no ip directed-broadcast
 ip nat outside
 encapsulation ppp
 dialer remote-name cross
 dialer idle-timeout 180
 dialer string *telefoon nummer*
 dialer load-threshold 1 outbound
 dialer pool 1
 dialer-group 1
 pulse-time 0
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname nvt
 ppp chap password 7 *password*
 ppp multilink
!
ip nat inside source list 199 interface Dialer1 overload
ip nat inside source static 10.0.0.140 111.111.111.111 extendable
ip classless
ip route 10.0.0.140 255.255.255.255 172.17.2.254
ip route 147.204.2.5 255.255.255.255 Dialer1
ip route 217.77.240.1 255.255.255.255 Dialer1
!
access-list 100 permit ip any any log
access-list 100 permit icmp any any log
access-list 199 permit ip any any log
access-list 199 permit icmp any any log
dialer-list 1 protocol ip list 100

!
line con 0
 transport input none
line vty 0 4
 password 7 *password*
!
end

vrijdag 9 september 2005 11:50

Acties:
  • _Arthur
  • Registratie: Juli 2001
  • Laatst online: 20:47

_Arthur

blub

Praetorian schreef op vrijdag 09 september 2005 @ 09:19:
Al het verkeer voor 10.0.0.140 moet gemapt worden, dus heb ik het volgende gedaan:

ip nat inside source static 10.0.0.140 111.111.111.111
(interface kent hij niet)

Nu is het even wachten op Duitsland voordat ze het weer gaan proberen, zal halverwege de ochtend zijn denk ik!

Bedankt voor het er op wijzen dat ik hem de verkeerde kant op mapte, hoe fout....
Haal nog even de public-ips' uit je cisco config die je hier hebt gepost.

Wel zo handig denk ik ;)

vrijdag 9 september 2005 12:14

Acties:

Verwijderd

Zeg, je zegt tegen je Bri interface nu 2 dingen:

1) Vraag de server waarop je inbelt een IP

en

Ik heb ip x.x.x.x

Nu bel je naar duitsland en de IP's zijn hetzelfde. Maar het is overkill, lijkt mij of niet?

vrijdag 9 september 2005 12:47

Acties:
  • Praetorian
  • Registratie: November 2001
  • Laatst online: 23-04 16:07

Praetorian

Topicstarter
_Arthur schreef op vrijdag 09 september 2005 @ 11:50:
[...]


Haal nog even de public-ips' uit je cisco config die je hier hebt gepost.

Wel zo handig denk ik ;)
Je hebt het over 111.111.111.111 ? die is fictief. althans... niet van ons

vrijdag 9 september 2005 12:52

Acties:
  • Jazzy
  • Registratie: Juni 2000
  • Laatst online: 21:49

Jazzy

Moderator SSC/PB

Moooooh!

Praetorian schreef op vrijdag 09 september 2005 @ 12:47:
[...]


Je hebt het over 111.111.111.111 ? die is fictief. althans... niet van ons
Hij bedoelt waarschijnlijk de 147 en 217 adressen. Al zie ik het probleem niet echt...

Exchange en Office 365 specialist. Mijn blog.

vrijdag 9 september 2005 14:13

Acties:
  • Praetorian
  • Registratie: November 2001
  • Laatst online: 23-04 16:07

Praetorian

Topicstarter
Mensen, bedankt voor de hulp, het is helemaal opgelost!

zondag 11 september 2005 16:29

Acties:
  • snakeye
  • Registratie: Januari 2000
  • Laatst online: 03-05 16:20

snakeye

Je moet nog een deny statement openemen in je acl 199 voor het adres van je statisch vertaalt. (boven je permit any ofcource)

Als je connectie vanuit jouw netwerk word geiniteerd zal dit ge-pat worden ipv static. En als hun dan vanuit duitsland een connectie willen initieren gaat het fout.

Het blijft goed gaan zolang ze alleen vanuit duitsland de connectie blijven initieren

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

Pagina: 1
Reageer