Toon posts:

cisco 1760 port forward probleem

Pagina: 1
Acties:
  • 392 views sinds 30-01-2008
  • Reageer

maandag 29 oktober 2007 17:56

Acties:

Verwijderd

Topicstarter
Mijn cisco 1760 router met WIC-1ADSL en IOS 12.3 heeft fast ethernet adres 192.168.1.254 en a dynamisch globaal ip adres. Een server op het LAN met Apache webserver heeft IP adres 192.168.1. 100 en heeft de dyndns updater werkende. Ik heb de IOS running config als onder met NAT en PAT naar het adres van de webserver 192.168.1.100 met TCP poort 80. Van het internet krijg ik de webpagina niet te zien, ook niet als ik het globale IP adres van de router intoets, is er een fout in de running config mbt port forwarding?


version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c1760
!
boot-start-marker
boot-end-marker
!
enable password xxxx
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef
!
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dsl1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 212.71.8.10 212.71.0.33
!
ip name-server 212.71.8.10
ip name-server 212.71.0.33
no ftp-server write-enable
!
interface ATM0/0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxxxxx@xxxx
ppp chap password xxxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.100 80 interface Dialer0 80
!
access-list 1 permit any
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
line aux 0
line vty 0 4
login
!
end

maandag 29 oktober 2007 18:11

Acties:
  • Bart
  • Registratie: Februari 2001
  • Laatst online: 13-03 20:11

Bart

Maak van:

access-list 1 permit any

eens:

access-list 1 permit 192.168.1.0 0.0.0.255

Ik weet dat sommige het IOS-en het niet leuk vinden als je daar any neer zet. Verder ziet het er eigenlijk goed uit. Hoe test je de translatie precies?

[ Voor 17% gewijzigd door Bart op 29-10-2007 18:13 ]

I'm not deaf, I'm just ignoring you.

maandag 29 oktober 2007 18:17

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

en doe gewoon een debug ip nat translations als je het probeert. Volgens mij zit het er goed uit, maar toch werkt het niet dus ik zal wel ongelijk hebben.

maandag 29 oktober 2007 21:28

Acties:
  • ChaserBoZ_
  • Registratie: September 2005
  • Laatst online: 04-01 10:58

ChaserBoZ_

Je test het toch niet vanaf je eigen interne netwerk ?

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 29 oktober 2007 22:00

Acties:

Verwijderd

Topicstarter
Ik heb de acces-list 1 permit veranderd maar het werkt nog steeds niet. debug ip nat werkt OK. Ja ik probeer de website inderdaad vanaf een computer op het LAN op te roepen. Ik heb op de server met IP adres 192.168.1.100 dyndns en apache geinstalleerd en probeer die server te bereiken met de dyndns hostname inde URL. Enig idee wat er fout gaat?


version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c1760
!
boot-start-marker
boot-end-marker
!
enable password xxxxx
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
ip cef
!
ip dhcp excluded-address 192.168.1.254
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool dsl1
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 212.71.8.10 212.71.0.33
!
ip name-server 212.71.8.10
ip name-server 212.71.0.33
no ftp-server write-enable
!
interface ATM0/0
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
interface FastEthernet0/0
ip address 192.168.1.254 255.255.255.0
ip nat inside
speed auto
!
interface Dialer0
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxxx@xxx
ppp chap password 0 xxxxx
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.100 80 interface Dialer0 80
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
control-plane
!
line con 0
line aux 0
line vty 0 4
password xxxx
login
!
end

maandag 29 oktober 2007 22:06

Acties:
  • Rendier2710
  • Registratie: Juni 2001
  • Laatst online: 13:35

Rendier2710

Probeer eens het outside ip adres ipv interface dialer0?

ip nat inside source static tcp 192.168.1.100 80 xxx.xxx.xxx.xxx 80

en inderdaad kun je je interne server niet aanroepen middels het outside adres vanuit je LAN....

[ Voor 28% gewijzigd door Rendier2710 op 29-10-2007 22:11 ]

maandag 29 oktober 2007 22:12

Acties:
  • LeGato23
  • Registratie: Juni 2001
  • Niet online

LeGato23

Verwijderd schreef op maandag 29 oktober 2007 @ 22:00:
Ik heb de acces-list 1 permit veranderd maar het werkt nog steeds niet.
Heb je na het wijzigen van de access-list een clear xlate uitgevoerd?

maandag 29 oktober 2007 22:26

Acties:

Verwijderd

Topicstarter
het commando

ip nat inside source static tcp 192.168.1.100 80 xxx.xxx.xxx.xxx 80

werkt ook niet, is er een andere manier om de werking op het internet van de webserver te testen? De router begrijpt het commando 'clear xlate' niet.

dinsdag 30 oktober 2007 06:37

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

clear xlate is een commando voor een PIX volgens mij. clear ip nat trans * zou het moeten doen.

dinsdag 30 oktober 2007 10:32

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 12-03 14:17

Mikey!

Ben je niet een access-list op de outside vergeten die verkeer van any toestaat naar je publieke ipadres op poort 80, zodat het verkeer dat bestemd is voor je webserver ook daadwerkelijk naar binnen mag? :)

code:
1
2
3
4

access-list 100 permit tcp any host [publiek ip] eq 80

interface dialer0
 ip access-group 100 in


Of was dat nou niet pérsé nodig...?

[ Voor 8% gewijzigd door Mikey! op 30-10-2007 10:34 ]

dinsdag 30 oktober 2007 10:49

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

geen ACL is alles doorlaten. Het is geen Firewall :p

dinsdag 30 oktober 2007 10:55

Acties:
  • Mikey!
  • Registratie: Augustus 2001
  • Laatst online: 12-03 14:17

Mikey!

TrailBlazer schreef op dinsdag 30 oktober 2007 @ 10:49:
geen ACL is alles doorlaten. Het is geen Firewall :p
Ik moet eens wat minder met ASA's en PIXen gaan werken :P

dinsdag 30 oktober 2007 15:36

Acties:
  • weijl
  • Registratie: Juli 2002
  • Niet online

weijl

Hm, lijkt netjes inderdaad, ik kan niets raars ontdekken.
Kan je die website wel op het interne IP (192.168.1.100) bereiken?? Zo ja, dan zit er toch iets niet helemaal lekker in je dyndns config. (Ik neem aan dat dyndns dan kijkt of je lokaal bent of juist niet, en op basis daarvan je het externe of interne ip geeft?)

woensdag 31 oktober 2007 20:34

Acties:

Verwijderd

Topicstarter
dyndns lijkt me goed te werken. Op WXP server 192.168.1.100 heb ik apache staan en als ik in het lan de 192.168.1.100 intoets op MS IE krijg ik de apache test pagina. Het vreemde is ook dat als ik het externe IP address van de router intoets ik de webpagina niet te pakken kijg, met deze configuratie zou dat toch moeten, of zit ik er helemaal naast.

woensdag 31 oktober 2007 21:55

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

ja dat werkt dus niet. Je gaat namelijk niet van outside naar inside dus wordt de nat entry niet aangesproken. Eventueel kan ik wel even voor je testen DM me anders de hostname/IP adres als je dat hier niet wil plaatsen.
Sommige SOHO routers ondersteunen dit wel maar een cisco niet. Ze hebben hier ook een reden voor geloof ik.

[ Voor 19% gewijzigd door TrailBlazer op 31-10-2007 21:56 ]

woensdag 31 oktober 2007 23:08

Acties:

Verwijderd

Topicstarter
OK, de hostname is evwaes.dyndns.org momenteel de externe IP 213.219.173.8

Dit is inderdaada de eerste keer dat ik dit met Cisco doe, voorheen altijd met een asus router, en dat werkte OK

woensdag 31 oktober 2007 23:16

Acties:
  • LeLo
  • Registratie: Mei 2006
  • Niet online

LeLo

It works!

woensdag 31 oktober 2007 23:32

Acties:

Verwijderd

Topicstarter
Prima, dus dan werkt het toch. Is er een andere manier om het te testen?

donderdag 1 november 2007 06:46

Acties:
  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

niet vanaf je interne netwerk.

donderdag 1 november 2007 07:20

Acties:
  • bazkar
  • Registratie: Juni 2001
  • Laatst online: 19-02 17:01

bazkar

Nee, vanaf de binnenkant van je eigen router terug via het buitenkant adres gaat uiteraard nooit werken.
Het verkeer 'bereikt' de buitenkant van je router nl. niet omdat het adres verwijst naar een IP dat op de router zit.
Je zal dit idd echt van buiten je netwerk moeten testen en dan werkt het uiteraard wel.
Je kunt een static DNS entry opnemen in je LAN om foo.dyndns.org te laten verwijzen naar 192.168.1.100 als je de server per se (waarom schrijft iedereen dit toch altijd fout) onder 1 naam wilt benaderen

donderdag 1 november 2007 13:11

Acties:

Verwijderd

Topicstarter
dat zal ik eens proberen. Ik heb gelijk nog een andere vraag. Ik wil een SIP communicatie server installeren waarvoor ik UDP poort 5060 forward naar 192.168.1.100 met

ip nat inside source static udp 5060 192.168.1.100 interface dialer0 5060

maar ik moet ook udp poorten 10000 to 10012 naar 192.168.1.100 forwarden voor de rtp stream, is er een manier om met een commando deze range udp poorten te forwarden.

donderdag 1 november 2007 16:21

Acties:
  • weijl
  • Registratie: Juli 2002
  • Niet online

weijl

Maar eens ingelezen op dyndns (kende het niet eens), en dat werkt dus anders dan ik dacht.

@ mkj, ik meen iets als 'ip nat inside source static udp range 10000-10012 192.168.1.100 interface d0 range 10000-10012'
dit moet overigens wel te vinden zijn op google of soortgelijken.

donderdag 1 november 2007 16:58

Acties:
  • Bart
  • Registratie: Februari 2001
  • Laatst online: 13-03 20:11

Bart

Verwijderd schreef op donderdag 01 november 2007 @ 13:11:

maar ik moet ook udp poorten 10000 to 10012 naar 192.168.1.100 forwarden voor de rtp stream, is er een manier om met een commando deze range udp poorten te forwarden.
Zover ik weet kan dat niet bij NAT translaties.

Bij het aanmaken van een access-lists kan je wel de range optie gebruiken.

I'm not deaf, I'm just ignoring you.

donderdag 1 november 2007 17:18

Acties:

Verwijderd

Topicstarter
nee heb dat geprobeert maar dat lukt niet, zien er naar uit dat for port address translation je alle poorten appart in moet vullen

donderdag 1 november 2007 18:26

Acties:
  • PerfectPC
  • Registratie: Februari 2004
  • Laatst online: 01-02 11:46

PerfectPC

Verwijderd schreef op woensdag 31 oktober 2007 @ 23:32:
Prima, dus dan werkt het toch. Is er een andere manier om het te testen?
via de proxy server van je provider kan je dit altijd testen ;)
verder kan je in het IP nat commando geen port ranges opgeven, maar dat lijkt me ook helemaal niet erg, het gaat hier om 13 lijntjes...

verder is het inderdaad best practice om je access-list voor de NAT te beperken tot je interne netwerk, anders kan je in de knoop komen als je er nog andere netwerken aan gaat koppelen (via vpn bijvoorbeeld), dan gaat die nl in alle richtingen proberen NAT'en wat uiteraad niet de bedoeling is ;)

heb je als eens geprobeerd of jouw versie van IOS geen ondersteuning biedt voor het commando IP ddns ? heel handig als je van dyndns clientjes af wilt :)

verder kan je je cisco laten fungeren als caching dns server, zo moet je geen statische externe ip's opgeven in je dhcp options, altijd handig moest je van provider wisselen en/of moest je provider die ip adressen aanpassen. je moet dan wel de dns server option accepteren bij de dhcp ip lease voor je dialer.

en ten slotte raad ik aan om service password-encryption toch echt aan te zetten hoor ;)

[ Voor 67% gewijzigd door PerfectPC op 01-11-2007 18:34 ]

donderdag 1 november 2007 21:37

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 15-03 12:04

Kabouterplop01

chown -R me base:all

TrailBlazer schreef op dinsdag 30 oktober 2007 @ 10:49:
geen ACL is alles doorlaten. Het is geen Firewall :p
zoals trailblazer zegt: ACL's eraf en opnieuw ranges van poorten doorlaten via een ACL
is een stuk makkelijker. Maak er een extended ACL van die kun je on the fly aanpassen, dan hoef je niet telkens de ACL van de poort af te slopen.
Zal dat werken?

vrijdag 2 november 2007 02:04

Acties:
  • PerfectPC
  • Registratie: Februari 2004
  • Laatst online: 01-02 11:46

PerfectPC

Kabouterplop01 schreef op donderdag 01 november 2007 @ 21:37:
zoals trailblazer zegt: ACL's eraf en opnieuw ranges van poorten doorlaten via een ACL
is een stuk makkelijker. Maak er een extended ACL van die kun je on the fly aanpassen, dan hoef je niet telkens de ACL van de poort af te slopen.
Zal dat werken?
neen dat gaat niet werken want er staan ook helemaal geen ACL's in...
die ene basic ACL heb je nodig voor je NAT werkende te krijgen.

vrijdag 2 november 2007 13:52

Acties:

Verwijderd

Topicstarter
inderdaad heb ik nog even geen acl ingesteld om ervoor te zorgen dat alles open staat om het eea te testen. er staat nu ios v12.3 op dat geen dynamic dns heeft, dat is vanaf de 12.4 geimplementeerd. ik zal die image er eens op zetten en het eea instellen.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq