Toon posts:

Cisco 1841 DMZ Configuratie

Pagina: 1
Acties:
  • 156 views sinds 30-01-2008
  • Reageer

vrijdag 1 september 2006 14:08

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Situatie
Ik heb een Cisco 1841 met een tweetal servers erachter, een domaincontroller die op de FE0/0 is aangesloten en een webserver (in DMZ) op het aangeschafte WICje. Nu heb ik de configuratie zover dat alle functionele zaken werken op het internet vanuit het LAN na.

Het vreemde is dat het voorheen wel gewerkt heeft met deze config alleen nu dus niet meer.


code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96

ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
!
!
no ip bootp server
ip domain name test.local
ip name-server 195.241.48.33
ip name-server 195.241.49.33
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
ip inspect name laninspect cuseeme
ip inspect name laninspect ftp
ip inspect name laninspect h323
ip inspect name laninspect icmp
ip inspect name laninspect netshow
ip inspect name laninspect rcmd
ip inspect name laninspect realaudio
ip inspect name laninspect rtsp
ip inspect name laninspect esmtp
ip inspect name laninspect sqlnet
ip inspect name laninspect streamworks
ip inspect name laninspect tftp
ip inspect name laninspect tcp
ip inspect name laninspect udp
ip inspect name laninspect vdolive
ip ips po max-events 100
no ftp-server write-enable
!
!
!
interface FastEthernet0/0
 description LAN Interface
 ip address 10.0.0.1 255.255.255.0
 ip access-group lan-acl in
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
!
interface FastEthernet0/1
 description WAN Interface
 ip address xxx.xxx.xxx.xxx 255.255.255.0
 duplex auto
 speed auto
 no cdp enable
 crypto map SDM_CMAP_1
!
interface FastEthernet0/0/1
 description DMZ
 switchport access vlan 2
 no ip address
 no cdp enable
!
!
interface Vlan2
 description DMZ Interface
 ip address 10.0.2.1 255.255.255.0
 ip access-group acl-to-dmz in
 ip nat inside
 ip virtual-reassembly
!
ip default-gateway XXX.XXX.XXX.XXX
ip classless
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX
ip route 10.0.0.0 255.255.255.0 FastEthernet0/0
ip route 10.0.2.0 255.255.255.0 FastEthernet0/0/1
!
ip http server
ip http authentication local
no ip http secure-server
ip nat pool LAN-pool 10.0.0.2 10.0.0.255 netmask 255.255.255.0
ip nat inside source static 10.0.2.7 XXX.XXX.XXX.XXX
!
ip access-list extended acl-to-dmz
 permit tcp any eq www any
 permit icmp any any
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 445
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1433
 permit udp host 10.0.2.2 host 10.0.0.2 eq 1433
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1434
 permit udp host 10.0.2.2 host 10.0.0.2 eq 1434
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any eq 443 any
 permit tcp any eq 3389 host 10.0.0.2
ip access-list extended lan-acl
 permit ip any any
ip access-list extended vpn-client-acl
 permit ip 10.0.0.0 0.0.0.255 any
 permit ip 10.0.2.0 0.0.0.255 any


Ik heb hier in dit voorbeeld zoveel mogelijk overbodige info er buiten gelaten. Ik heb al de ip nat statements al eens verwijderd en omgedraaid maar dit bood geen oplossing. Tevens heb ik geprobeerd om dmv ip nat inside source list lan-acl interface FastEthernet0/1 overload iets te forceren maar ook dit bood geen oplossing.

Op dit moment is het dus mogelijk om de webserver van buitenaf te benaderen en de website connect ook naar de database op de DC. Mobiele VPN werkt ook zonder problemen, echter kan ik dus niet pingen vanaf de FE0/0.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

vrijdag 1 september 2006 14:40

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 03-04 11:05

Mikey!

Je hebt op de LAN interface een access-list staan waarin je alleen het ip protocol doorlaat (tcp en udp). Als het goed is zou je icmp moeten toevoegen aan de access-list om te mogen pingen. :)

vrijdag 1 september 2006 14:50

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Ik heb voor de zekerheid op de Lan-ACL ook maar een permit icmp any any gezet maar dit heeft geen effect gehad. Ik kan ook geen DNS request doen terwijl dat wel via tcp/udp gaat.

Was het maar zo simpel ;)

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

vrijdag 1 september 2006 15:13

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

vanwaar deze onnodige statics. connected interfaces komen sowieso in je routingtabel
code:
1
2

ip route 10.0.0.0 255.255.255.0 FastEthernet0/0
ip route 10.0.2.0 255.255.255.0 FastEthernet0/0/1

en op je wan ethernetpoort natuurlijk ff ip nat outside zetten. Bij nat altijd minimaal 1 interface inside en 1 outside maken

[ Voor 24% gewijzigd door TrailBlazer op 01-09-2006 15:14 ]

vrijdag 1 september 2006 15:14

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Routes van een collega... Hij heeft de voorbereiding gedaan en ik heb het overgenomen. Maar ook zonder deze routes werkt internet van binnen naar buiten niet.

[ Voor 29% gewijzigd door BFS op 01-09-2006 15:16 ]

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

vrijdag 1 september 2006 15:15

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

BFS schreef op vrijdag 01 september 2006 @ 15:14:
Routes van een collega... Hij heeft de voorbereiding gedaan en ik heb het overgenomen.
weghalen is onzin en voeg ff ip nat outside toe op je wan ethernetpoort dan werkt het wel. Wel vaag dat de DMZ al wel werkt moet ik zeggen.
Overigens missen we een of andere VPN tunnel ofzo wat doet die crypto map daar
code:
1

 crypto map SDM_CMAP_1


edit ik snap nu het probleem pas :p
Volgens mij is je config erg incompleet want volgens mij heb je nog ergens een tunnel verstopt.
Ja dus ik ga ff verder denken

[ Voor 29% gewijzigd door TrailBlazer op 01-09-2006 15:19 ]

vrijdag 1 september 2006 15:17

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Excuus, ik zie net dat er op mijn WAN interface wel een ip nat outside staat:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

interface FastEthernet0/0
 description LAN Interface
 ip address 10.0.0.1 255.255.255.0
 ip access-group lan-acl in
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
!
interface FastEthernet0/1
 description WAN Interface
 ip address xxx.xxx.xxx.xxx 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map SDM_CMAP_1


En in mijn TS staat ook dat ik het deel voor de VPN tunnel eruit heb gehaald, mocht je de gehele config willen zien dan wil ik die ook nog wel posten?

[ Voor 12% gewijzigd door BFS op 01-09-2006 15:18 ]

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

vrijdag 1 september 2006 15:21

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

wat ik je ff aanraad is onderaan elke acl de regel deny ip any any log te zetten als er inderdaad gedenied wordt (moet haast wel) zie je dat tenminste in je logs

vrijdag 1 september 2006 15:24

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Hmm, dan zou het toch een ACL zijn? opzich toch best vreemd als er op de lan-acl een permit ip any any staat? In eerste instantie praat ik dan alleen over de LAN interface en nog niet over de DMZ.

[ Voor 28% gewijzigd door BFS op 01-09-2006 15:25 ]

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

vrijdag 1 september 2006 15:27

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

dat weet ik niet of het een ACL probleem is maar je kan goed dingen uitsluiten. En die statics vind ik raar. Dus die kunnen zeker weg

vrijdag 1 september 2006 15:31

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Die static routes zijn er inmiddels uit, ik zal even die deny toevoegen op de ACL's.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Extended IP access list acl-to-dmz
    10 permit tcp any eq www any (194 matches)
    20 permit icmp any any
    30 permit tcp host 10.0.2.2 host 10.0.0.2 eq 445 (2578 matches)
    40 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1433 (1773 matches)
    50 permit udp host 10.0.2.2 host 10.0.0.2 eq 1433
    60 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1434
    70 permit udp host 10.0.2.2 host 10.0.0.2 eq 1434
    80 permit tcp any eq ftp any
    90 permit tcp any eq ftp-data any
    100 permit tcp any eq 443 any
    110 permit tcp any eq 3389 host 10.0.0.2
    120 deny ip any any log (12 matches)
Extended IP access list lan-acl
    10 permit ip any any (13953 matches)
    20 deny ip any any log

Ik zie na een extended ping vanaf de Lan interface (FE0/0) dus geen matches op de deny?

Ik zit even in de logs van de router te kijken na het uitzetten van een ping -t op een van de servers maar ik zie niets in de logs terug komen voor de lan-acl

[ Voor 128% gewijzigd door BFS op 01-09-2006 15:51 ]

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

maandag 4 september 2006 10:25

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
* BFS trapt het topic nog maar eens omhoog


Ik zie dus geen hits op de deny ip any any log op de lan-acl. Ik vraag me af of het nou in de acl zit of eventueel in de config van de router die hier nog voorstaat.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

maandag 4 september 2006 10:37

Acties:
  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 03-04 22:38

ShadowBumble

Professioneel Prutser

BFS schreef op maandag 04 september 2006 @ 10:25:
* BFS trapt het topic nog maar eens omhoog


Ik zie dus geen hits op de deny ip any any log op de lan-acl. Ik vraag me af of het nou in de acl zit of eventueel in de config van de router die hier nog voorstaat.
Extended IP access list lan-acl
10 permit ip any any (13953 matches)
20 deny ip any any log

Die rule permit ip any any matched alles al vanaf je LAN dus alles gaat door de eerste rule en de deny rule word dus totaal links gelaten ,

ACL werken op basis van first matched. Bassicly die totally LAN-ACL is volledige waardeloos.

:+

"Allow me to shatter your delusions of grandeur."

maandag 4 september 2006 10:51

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
|:( Klinkt behoorlijk logisch inderdaad, ik heb de lan-acl toch aangemaakt om zodoende in ieder geval al een ACL te hebben op het LAN waardoor de config voor mij in ieder geval qua opbouw overzichtelijk blijft.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

dinsdag 5 september 2006 10:21

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Nog maar een kick omhoog... Ik heb de startup-config verwijderd en met een reload naar een schone config gegaan. Daar heb ik alleen de FE0/0 en de FE0/1 geconfigureerd. Verder nog geen rare fratsen met ACL's/VPN enz enz en nog wil het niet werken.

Ik begin steeds meer het vermoeden te krijgen dat er toch iets geblokeerd word door de hosting van de klant (Het spul hangt in een datacenter)..


Edit:

Ik heb nu een ip nat inside source list wan-acl interface FastEthernet0/1 overload in mijn config gegooid en mag nu wel van binnen naar buiten internetten. Echter zijn de servers niet meer te benaderen van buiten af.

[ Voor 22% gewijzigd door BFS op 05-09-2006 10:51 ]

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

dinsdag 5 september 2006 12:34

Acties:
  • PerfectPC
  • Registratie: Februari 2004
  • Laatst online: 01-02 11:46

PerfectPC

BFS schreef op dinsdag 05 september 2006 @ 10:21:
Ik heb nu een ip nat inside source list wan-acl interface FastEthernet0/1 overload in mijn config gegooid en mag nu wel van binnen naar buiten internetten. Echter zijn de servers niet meer te benaderen van buiten af.
waarom zou je in godsnaam PAT configuren op een router waar servers achter hangen die van buitenaf bereikbaar moeten zijn ??? static NAT zou ik eventueel nog kunnen begrijpen...
schets de netwerksituatie eens want het komt wel heel rommelig over nu.

dinsdag 5 september 2006 13:30

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Ik heb PAT er alweer afgehaald, het was puur een test om te controleren of dit wel werkte. Ik zal asap even een Visio maken en de config nog eens posten.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

donderdag 7 september 2006 11:24

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Overview:
Afbeeldingslocatie: http://jongemoeders.bfsquad.com/files/networkoverview.png

Config:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230

version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption

service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
logging buffered 4096 informational
logging console informational
logging monitor informational
enable secret **************
!
aaa new-model
!
!
aaa authentication login sdm_vpn_xauth_ml_2 local
aaa authorization network sdm_vpn_group_ml_2 local
!
aaa session-id common
!
resource policy
!
clock timezone EST 1
clock summer-time EDT recurring
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
no ip source-route
ip cef
!
!
ip tcp synwait-time 10
!
!
no ip bootp server
ip domain name domain.local
ip name-server 217.115.204.210
ip name-server 217.115.192.21
ip inspect name dmzinspect tcp
ip inspect name dmzinspect udp
ip inspect name laninspect cuseeme
ip inspect name laninspect ftp
ip inspect name laninspect h323
ip inspect name laninspect icmp
ip inspect name laninspect netshow
ip inspect name laninspect rcmd
ip inspect name laninspect realaudio
ip inspect name laninspect rtsp
ip inspect name laninspect esmtp
ip inspect name laninspect sqlnet
ip inspect name laninspect streamworks
ip inspect name laninspect tftp
ip inspect name laninspect tcp
ip inspect name laninspect udp
ip inspect name laninspect vdolive
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-3116229633
 subject-name cn=IOS-Self-Signed-Certificate-3116229633
 revocation-check none
 rsakeypair TP-self-signed-3116229633
!
!
username quaere privilege 15 password 7 **********
!
!
!
crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp keepalive 90 12
!
crypto isakmp client configuration group vpnclient
 key **********
 pool vpnippool
 acl vpn-client-acl
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
 set transform-set strong
 reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_2
crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_2
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
!
interface FastEthernet0/0
 description LAN Interface
 ip address 10.0.0.1 255.255.254.0
 ip access-group lan-acl in
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 no mop enabled
!
interface FastEthernet0/1
 description WAN Interface
 ip address 217.115.204.* 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map SDM_CMAP_1
!
interface FastEthernet0/0/0
 shutdown
 no cdp enable
!
interface FastEthernet0/0/1
 description DMZ
 switchport access vlan 2
 no cdp enable
!
interface FastEthernet0/0/2
 shutdown
 no cdp enable
!
interface FastEthernet0/0/3
 shutdown
 no cdp enable
!
interface Vlan1
 no ip address
!
interface Vlan2
 description DMZ Interface
 ip address 10.0.2.1 255.255.254.0
 ip access-group acl-to-dmz in
 ip nat inside
 ip virtual-reassembly
!
ip local pool vpnippool-icrew 10.0.0.200 10.0.0.254
ip default-gateway 217.115.204.1
ip classless
ip route 0.0.0.0 0.0.0.0 217.115.204.1
!
!
ip http server
ip http authentication local
no ip http secure-server
ip nat inside source static 10.0.2.7 217.115.204.*
!
ip access-list extended acl-to-dmz
 permit tcp any eq www any
 permit icmp any any
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 445
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1433
 permit udp host 10.0.2.2 host 10.0.0.2 eq 1433
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1434
 permit udp host 10.0.2.2 host 10.0.0.2 eq 1434
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any eq 443 any
 permit tcp any eq 3389 host 10.0.0.2
ip access-list extended lan-acl
 permit ip any any
ip access-list extended vpn-client-acl
 permit ip 10.0.0.0 0.0.0.255 any
 permit ip 10.0.2.0 0.0.0.255 any
!

no cdp run
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
banner login ^CCCUnauthorized access to this system is prohibited!^C
banner motd ^CCCC
#########################################################################
#                                                                       #
# Unauthorized access to this system prohibited!!!                      #
#                                                                       #
# Ongeautoriseerde toegang tot dit systeem is niet toegestaan!!!        #
#                                                                       #
#########################################################################
^C
!
line con 0
 transport output telnet
line aux 0
 transport output telnet
line vty 0 4
 transport input telnet ssh
!

end


Ik hoop zo wat meer duidelijkheid te hebben verschaft, nogmaals alle functionaliteit is dus aanwezig alleen kunnen de servers van binnen naar buiten niet internetten.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

donderdag 7 september 2006 11:46

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Je server kan dus geen website benaderen. Dat is te verklaren door deze ACL
code:
1
2
3
4
5
6
7
8
9
10
11
12

ip access-list extended acl-to-dmz
 permit tcp any eq www any
 permit icmp any any
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 445
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1433
 permit udp host 10.0.2.2 host 10.0.0.2 eq 1433
 permit tcp host 10.0.2.2 host 10.0.0.2 eq 1434
 permit udp host 10.0.2.2 host 10.0.0.2 eq 1434
 permit tcp any eq ftp any
 permit tcp any eq ftp-data any
 permit tcp any eq 443 any
 permit tcp any eq 3389 host 10.0.0.2

deze staat inkomen op de VLAN poort dus verkeer vanaf de server in de DMZ naar buiten wordt gechecked. Je zou dan een rule
permit tcp 10.0.2.1 0.0.0.255 any eq 80
moeten toevoegen

donderdag 7 september 2006 12:53

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Klinkt opzich logisch maar vanaf het LAN mag ik ook niet op het internet en daar staat permit ip any any.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

donderdag 7 september 2006 13:02

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

dat is een nat probleem je nat is namelijk niet goed (onvolledig) geconfigureerd
voeg dit toe
code:
1
2

ip nat inside source list 1 interface FastEthernet0/1 overload
access-list 1 permit ip 10.0.0.0 0.0.1.255

Je geeft dan aan dat verkeer vanaf je lokale LAN genat moet worden naar het externe ip van je FastEthernetpoort
Ik denk echter niet dat dit gaat werken omdat dit adres al in een static pool wordt gebruikt

[ Voor 32% gewijzigd door TrailBlazer op 07-09-2006 13:03 ]

donderdag 7 september 2006 13:16

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Het ipadres in de static pool is anders dan het adres van de router. Maar die overload heb ik er al eens opgezet. Het volgende heb ik geprobeerd:

code:
1

ip nat inside source list wan-acl interface FastEthernet0/1 overload


En op de wan-acl stond:
code:
1

permit ip any any


Ik heb die regel (iets aangepast) ook op de acl-to-dmz toegepast maar krijg geen hits op mijn ACL. Ik heb het sterke vermoeden dat mijn NAT echt niet klopt maar ik zie niet in waarom.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

donderdag 7 september 2006 13:47

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

er zit dan niks anders op dan lekker te gaan debuggen enzo

donderdag 7 september 2006 13:57

Acties:
  • BFS
  • Registratie: Augustus 2001
  • Laatst online: 02-04 10:44

BFS

Rude awakening

Topicstarter
Ik ga er volgende week weer heen en zal dan eens from scratch beginnen. Daarbij neem ik jullie advies zeker mee. Ik heb de tip al gekregen om eens te kijken om vanuit de wizard in de SDM eens te kijken of NAT goed geconfigureerd kan worden.

When did I realize I was God? Well, I was praying and suddenly I realized that I was talking to myself

Pagina: 1
Reageer