servers achter cisco 828 sdsl public ip adressen...? - Serversoftware en clouddiensten

maandag 17 oktober 2005 17:00

Acties:

Topicstarter

Ik ben zelf al weekje bezig en denk dat ik in de buurt ben echter we komen er nog niet uit.

We hebben een ip range van xx.xx.250.132 t/m 135 (later krigen we er meer, 16)
Er komen voorlopig 2 servers en die moeten venaf internet bereikbaar zijn.
We hebben het nu aan het lopen echter met NAT en dan zijn ze niet bereikbaar vanaf internet maar kun je wel internetten vanaf de server, dus de sdsl lijn is inorde.

Heb je advies, wat mis ik/ doe ik fout?

version 12.2
no service single-slot-reload-enable
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname sisrout
!
enable secret xxxxxxxxxxxxx
!
ip subnet-zero
no ip domain-lookup
ip name-server 212.125.141.138
ip name-server 212.125.141.183
!
interface Ethernet0
ip address xx.xx.250.133 255.255.255.252
no shutdown
no ip proxy-arp
!
interface ATM0
no ip address
no shutdown
no atm ilmi-keepalive
pvc 0 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
!
interface Dialer0
ip address negotiated
ip unnumbered ethernet0
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username adsl.@netl.nl password xxxxxxxxxxxxxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
!
access-list 101 permit ip xx.xx.250.132 0.0.0.3 any
dialer-list 1 protocol ip permit
!
line con 0
transport input none
stopbits 1
line vty 0 4
password xxxxxxxxxxxxx
login
!
scheduler max-task-time 5000
end

groet en dank
--
Raymond Marx
RayIT

maandag 17 oktober 2005 18:34

Acties:

ChaserBoZ_

Denk niet dat ze crossposten zullen waarderen

Ook weinig PNS hieraan.

Edit; ook ik maak wel eens een tiepvaut.

[ Voor 24% gewijzigd door ChaserBoZ_ op 17-10-2005 18:34 ]

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 17 oktober 2005 18:49

Acties:

Flyduck

Pfff misschien even een poortje doorlussen naar je interne server, en klaar...

Zijn er mensen die deze regel lezen? Graag terugkoppeling gewenst (onopvallend)

maandag 17 oktober 2005 21:56

Acties:

RayIT

Topicstarter

Sorry voor de cross posting!!
Ik dacht heb hem verkeert gezet..

Hoe zet je dan zo'n poortje door?

Heeft iemand een werkende configuratie van bbnet sdsl zonder nat en dhcp en waarbij men de hosts kan bereiken vanaf internet etc?

We zijn er nog steeds niet uit.
We kunnen nu wel vanaf de router naar internet pingen met volgende configuratie
echter we komen niet van buitenaf op de server en op de server is geen internet...

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname SISROUT
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxx
!
ip subnet-zero
no ip domain lookup
!
!
!
!
interface Ethernet0
ip address xx.xxx.xx.133 255.255.255.252
no ip route-cache
no keepalive
hold-queue 100 out
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 0 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
!
interface Dialer0
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username sds@xdsl.nl password 7 xxxxxxxxxxxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
!
!
access-list 1 permit any
access-list 101 permit ip xx.xxx.250.132 0.0.0.3 any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 4
password 7 xxxxxxxxxxxx
login
!
scheduler max-task-time 5000
end

groet en dank

Raymond

dinsdag 18 oktober 2005 06:51

Acties:

TrailBlazer

Karnemelk FTW

met deze config zal ik een statisce nat entry maken voor je 4 servers.. Kan je tenminste al je 4 adressen gebruiken nu raak je er 2 kwijt aan je netwerk en broadcast

dinsdag 18 oktober 2005 09:26

Acties:

nextware

RayIT schreef op maandag 17 oktober 2005 @ 21:56:
Sorry voor de cross posting!!
Ik dacht heb hem verkeert gezet..

Hoe zet je dan zo'n poortje door?

Heeft iemand een werkende configuratie van bbnet sdsl zonder nat en dhcp en waarbij men de hosts kan bereiken vanaf internet etc?

We zijn er nog steeds niet uit.
We kunnen nu wel vanaf de router naar internet pingen met volgende configuratie
echter we komen niet van buitenaf op de server en op de server is geen internet...

!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname SISROUT
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxx
!
ip subnet-zero
no ip domain lookup
!
!
!
!
interface Ethernet0
ip address xx.xxx.xx.133 255.255.255.252
no ip route-cache
no keepalive
hold-queue 100 out
!
interface ATM0
no ip address
no ip route-cache
no atm ilmi-keepalive
pvc 0 0/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl equipment-type CPE
dsl operating-mode GSHDSL symmetric annex B
dsl linerate AUTO
!
interface Dialer0
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username sds@xdsl.nl password 7 xxxxxxxxxxxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
!
!
access-list 1 permit any
access-list 101 permit ip xx.xxx.250.132 0.0.0.3 any
dialer-list 1 protocol ip permit
!
line con 0
stopbits 1
line vty 0 4
password 7 xxxxxxxxxxxx
login
!
scheduler max-task-time 5000
end

groet en dank

Raymond

Hebben jullie toegang gekregen van bbned tot hun modems ? Voor zover ik weet houden zij het beheer van de modems in hun eigen beheer en moet je een document ondertekenen dat je afziet van support, etc als je zelf het beheer van je modems gaat doen.

Voor zover ik weet, spelen alle modems van bbned een bridge functie. Het externe IP adres komt terecht op bijvoorbeeld je router (als je die hebt).

Wij hebben bij al onze klanten ook aansluitingen met meerdere IP adressen. Alles komt binnen op 1 router en vanuit daar wordt het via een port forward naar de betreffende server gestuurd. Werkt als een trein.

dinsdag 18 oktober 2005 10:51

Acties:

RayIT

Topicstarter

We hebben eigen modem in beheer. (zelf gekocht)
We krijgen straks 16 ip adressen, dus 2 verliezen is geen probleem.

Situatie nu is:
we kunnen pingen vanaf de cisco 828 naar internet en naar de servers.
en we kunnen pingen vanaf de server naar de cisco 828

Echter vanaf de server naar internet lukt niet.
En vanaf internet naar de server niet.

Helaas weet ik bijna niets van routes en cisco etc.. echter begin er langzaam iets van te snappen..

Hoe los je dit op?
Heeft iemand een voorbeeld config.

groet en dank.
Raymond

dinsdag 18 oktober 2005 11:10

Acties:

Zwelgje

voorbeeldconfigs genoeg op www.cisco.com lijkt me dat je daar het eerst kan gaan shoppen

IOS krijg je niet zomaar onder de knie.. dat vereist nog een aardige studie

A wise man's life is based around fuck you

dinsdag 18 oktober 2005 11:19

Acties:

Equator

Crew Council

#whisky #barista

Je hebt dus een routed subnet. Alle IP adressen jouw subnet worden gerouteerd naar de cisco.

Er zijn meerdere manieren om dit te gebruiken
1) Je maakt een apart onveilig LAN waarin je de servers zelf een IP adres uit je routed subnet geeft.
1 van de IP adressen is dan voor je router, en deze gebruik je om vanaf je veilige LAN via NAT te interenetten.
Das de makkelijkste, maar ook de meest linke manier, daar je servers dan direct aan het internet hangen, en jij een hell of a job hebt om de server dicht te timmeren en te beveiligen tegen elke worm/virus/trojan die er maar uit wordt gevonden. Dus: Niet doen..

2)
De beter manier is om zoals je zelf al wilde de publieke adressen door te zetten (NATten) naar een private adres in je veilige LAN (of eventueel aan apart LAN als zijnde een DMZ (Demilitairised Zone) )

Dan zou je voor elke IP adres wat je gebruikt de juiste poort(en) door moeten natten naar het interne IP adres. Hoe dit moet: Google op NAT bij cisco moet je een heel eind komen..

Let er wel op: Je krijgt volgens je leverancier 16 IP adressen, maar waarschijnlijk is het laagste IP adres je netwerkadres welke je niet kan gebruiken.
Het laatste IP adres is je broadcast adres welke je ook niet kan gebruiken.
Je router heeft ook nog een adres nodig, dus hou je effectief 13 IP adressen over.

Je kan je int1 meerdere IP adressen geven, maar ook virtuele interfaces maken met elk een apart IP adres. Dat lijkt mij de meest voor de handliggende optie.

Voor routing: (Static) routing tutorial

Overigens groeten Tweakers elkaar per definitie, dus hoeft dat niet aan het einde van je post.

dinsdag 18 oktober 2005 19:45

Acties:

ChaserBoZ_

nextware schreef op dinsdag 18 oktober 2005 @ 09:26:
[...]

Hebben jullie toegang gekregen van bbned tot hun modems ? Voor zover ik weet houden zij het beheer van de modems in hun eigen beheer en moet je een document ondertekenen dat je afziet van support, etc als je zelf het beheer van je modems gaat doen.

Voor zover ik weet, spelen alle modems van bbned een bridge functie. Het externe IP adres komt terecht op bijvoorbeeld je router (als je die hebt).

Wij hebben bij al onze klanten ook aansluitingen met meerdere IP adressen. Alles komt binnen op 1 router en vanuit daar wordt het via een port forward naar de betreffende server gestuurd. Werkt als een trein.

Dat is meer afhankelijk van je ISP.

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 18 oktober 2005 19:46

Acties:

ChaserBoZ_

Hou wel in de gaten dat als je nu een /30 subnet hebt en strax een /28, dat de kans erg groot is dat je IP adressen wijzigen, een subnet bestaat uit opeenvolgende IP adressen.

'Maar het heeft altijd zo gewerkt . . . . . . '

dinsdag 18 oktober 2005 20:15

Acties:

Zoetjuh

Wij hebben een vergelijkbare situatie met een SOHO78 bij een klant met momenteel één server met één NIC. Omdat het netwerk van de klant intern al helemaal was ingericht, hebben we, naast het public router-ip een extra public IP "geNAT" naar server.

Nu ben ik alleen benieuwd wat een ander zou doen.. is dit wel een nette oplossing namelijk? Had ik misschien de server een 2de public IP (of 2de NIC met public IP) moeten geven? Hoe denken jullie hier over?

code:

Current configuration : 2391 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
logging queue-limit 100
enable secret <Enable password>
!
ip subnet-zero
!
!
!
!
interface Ethernet0
 ip address 192.168.2.7 255.255.255.0
 ip nat inside
 no ip route-cache
 no keepalive
 hold-queue 100 out
!
interface ATM0
 no ip address
 no ip route-cache
 no atm ilmi-keepalive
 pvc 0 0/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl equipment-type CPE
 dsl operating-mode GSHDSL symmetric annex B
 dsl linerate AUTO
!
interface Dialer0
 ip address xx.xxx.xx.129 255.255.255.248
 ip access-group 101 in
 ip access-group 102 out
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <UID> password <PWD>
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static 192.168.2.1 xx.xxx.xx.130
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
ip http server
!
access-list 1 permit any
access-list 1 permit 192.168.2.0 0.0.0.255
access-list 101 permit tcp any any established
access-list 101 permit tcp any eq ftp-data any
access-list 101 permit tcp host yyy.yyy.yyy.yyy any eq 3389
access-list 101 permit tcp host yy.yyy.y.yyy any eq 3389
access-list 101 permit tcp any any eq pop3
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any any eq ftp-data
access-list 101 permit tcp any any eq smtp
access-list 101 permit tcp any any eq domain
access-list 101 permit tcp any any eq www
access-list 101 permit tcp any any eq 1723
access-list 101 deny   udp any any eq 135
access-list 101 deny   udp any any eq netbios-ns
access-list 101 deny   udp any any eq netbios-ss
access-list 101 permit udp any any
access-list 101 deny   53 any any
access-list 101 permit gre any any
access-list 101 permit tcp any any eq 143
access-list 101 permit tcp any any eq 993
access-list 101 permit tcp any any eq 443
access-list 102 deny   tcp host xx.xxx.xx.129 any eq smtp
access-list 102 permit gre any any
access-list 102 permit tcp any any
access-list 102 permit udp any any
dialer-list 1 protocol ip permit
!
line con 0
 exec-timeout 120 0
 stopbits 1
line vty 0 4
 exec-timeout 120 0
 password 7 <Telnet password>
 login
!
scheduler max-task-time 5000
end

[ Voor 4% gewijzigd door Zoetjuh op 18-10-2005 20:17 ]

dinsdag 18 oktober 2005 21:36

Acties:

TrailBlazer

Karnemelk FTW

als je een /27 krijgt is het inderdaad wel te overleven om 2 ip adressen te "verliezen" wat voor ip addressen krijg je op je WAN link. Waarschijnlijk een ip unnumbered. Dit is redelijk standaard voor een ISP. De constructie met een /29 op de Dialer is echt lelijk. Maak gewoon een x aantal statische nat entries aan

woensdag 19 oktober 2005 09:55

Acties:

Verwijderd

De oplossing met NAT vindt ik persoonlijk niet zo mooi (of je wil de internetverbinding ook
nog sharen met meerdere PC's)

Maar de netste oplossing is om de servers "DMZ" te hangen.
Dus jou config en dan een incomming access-list toevoegen op de dialer 0.
Verder denk ik dat je iets niet goed heb staan met default gateway op je server, waardoor
het eea niet werkt...

woensdag 19 oktober 2005 10:04

Acties:

TrailBlazer

Karnemelk FTW

wat is er mis met die statische nat entry. Ik heb het hier niet over overload gewoon keihard dit interne ip wordt dit externe ip. Geen gezeur met portmappings ofzo. Dan zijn je pcs op elke mogelijke poort vanaf buiten te benaderen. Er wordt namelijk gewoon op IP niveau NAT gedaan

woensdag 19 oktober 2005 10:35

Acties:

Verwijderd

Sorry, maar dit is niet de bedoeling van dit forum. Als jij geen idee hebt waar je mee bezig bent en wat je moet doen dan zou ik de boel aan iemand overlaten die er verstand van heeft.

Bovendien zie ik nogal weinig zelfwerkzaamheid en nogal veel 'heeft er iemand een config' en wordt crossposten inderdaad niet gewaardeerd hier.

Pagina: 1

Dit topic is gesloten.