Port forwarding cisco router werkt niet - Netwerken

dinsdag 23 september 2008 20:35

Acties:

Verwijderd

Topicstarter

Ik heb een cisco router en probeer een webserver achter de router zichtbaar te krijgen.
Al meer dan 100 opties doorlopen en zoeken op het internet (oa portforward.com) geeft de oplossing:

ip nat inside source static tcp 192.169.0.102 80 interface Dialer0 80

Dat zou de belangrijke regel moeten zijn om binnenkomend http verkeer op poort 80 door te verwijzen naar de webserver.
Wat ik echter ook probeer, het scherm om op de router in te loggen blijft komen. Ik moet daar dus op een of andere manier omheen zien te komen. De melding verschijnt dan:

Server x.x.x.x op level_15 or view_access vereist een gebruikersnaam en wachtwoord.
Waarschuwing: deze server vraagt om uw gebruikersnaam en wachtwoord op een onveilige manier te verzenden (basisverificatie zonder beveiligde verbinding).

Als ik via grc.com kijk valt op dat mijn poort 80 met bovenstaande regel (ip nat inside ...) ook nog eens op stealth komt te staan ipv open. Dit krijg ik niet opgelost. Zelfs al ik mijn firewall in de router disable.

Wie weet een oplossing zodat ik direct op mijn webserver terecht kom? Dus niet in mijn router webinterface?

woensdag 24 september 2008 13:08

Acties:

Saab

conf t

No ip http server

control Z om op te slaan

eventueel kun je ook nog de portnumber aan passen met : ip http port number

[ Voor 47% gewijzigd door Saab op 24-09-2008 14:38 ]

https://www.discogs.com/user/jurgen1973/collection

woensdag 24 september 2008 13:34

Acties:

Verwijderd

Topicstarter

bedankt!

ik heb dit commando gisteren al eens gebruikt, maar dat had toen blijkbaar geen effect.
(ik kon hem niet meer met sdm benaderen? Kan dat?

Ik zal deze regel nogmaals inbouwen.

Poort 80 werd hermetisch gesloten zag ik in grc.com

moet ik om de poort weer te openen soms de regel toevoegen:
access-list 101 permit tcp any eq 80 host <network.prefix>

alvast bedankt

woensdag 24 september 2008 13:38

Acties:

Saab

SDM gebruikt poort 80 idd ook. Maar als je de poort aanpast kun je ergens in SDM de poort ook aanpassen.

Of je stopt met SDM en doet alles via de CLI.

Werken andere portforwarders wel op je Cisco? Test eens met een FTP server bijvoorbeeld. wellicht dat een herstart van je Cisco zou helpen.

https://www.discogs.com/user/jurgen1973/collection

woensdag 24 september 2008 14:00

Acties:

Verwijderd

Topicstarter

goed idee om met ftp te proberen! Ga ik einde van de dag even testen

woensdag 24 september 2008 14:37

Acties:

Saab

Je hebt wel NAT enzo opgezet? Kun je anders je config even hier posten.

https://www.discogs.com/user/jurgen1973/collection

woensdag 24 september 2008 15:39

Acties:

TrailBlazer

Karnemelk FTW

Waar vandaan probeer je het. Als je vanaf een interne machine naar het ip adres van dialer interface gaat dan zal nat niet werken en kom je dus inderdaad op de webinterface van de router uit.

woensdag 24 september 2008 17:42

Acties:

Leon T

Ni!

TrailBlazer schreef op woensdag 24 september 2008 @ 15:39:
Waar vandaan probeer je het. Als je vanaf een interne machine naar het ip adres van dialer interface gaat dan zal nat niet werken en kom je dus inderdaad op de webinterface van de router uit.

Dit is het hem dus. Grote kans dat je portforward al correct werkt, maar dat je gewoon niet kan testen omdat je router geen NAT loopback ondersteund. Beste wat je kunt doen is dus naar je config van vanmorgen gaan en dan testen door middel van een externe proxy. Daarvan zijn er genoeg te vinden met google

woensdag 24 september 2008 19:57

Acties:

Saab

Ik was ervan uit gegaan dat TS het van buiten af zou proberen maar wie weet idd.

https://www.discogs.com/user/jurgen1973/collection

vrijdag 26 september 2008 17:03

Acties:

Verwijderd

Topicstarter

Ik heb het niet van buitenaf geprobeerd!
Maar met de huidige config krijg ik poort 80 ook niet meer open ( volgens grc.com). Alle poorten staan op stealth.

Volgens mij heb ik NAT inmiddels goed staan
Ik zal nog even op zoek gaan hoe je dat extern kunt testen met een externe proxy. Bij mijn oude router werd de loopback iig wel ondersteund.
Hierbij de graagde config!

Building configuration...

Current configuration : 8566 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname pc1
!
boot-start-marker
boot-end-marker
!
logging buffered 51200
logging console critical
enable secret 5 $1$V5Mi$OIjKw/NiXg5vmODWSajxB0
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-420191429
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-420191429
revocation-check none
rsakeypair TP-self-signed-420191429
!
!
crypto pki certificate chain TP-self-signed-420191429
certificate self-signed 01
3082023D 308201A6 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 34323031 39313432 39301E17 0D303830 39323631 35323734
345A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3432 30313931
34323930 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
FC337F92 C284A5AF 1925C6B6 4D3A1DCD A674AD85 8F91C111 79CC1C9B 8EB2BDAE
CDCE52EF 573F3EF3 058A3E77 80F1D675 D8948174 4EB20CCC 58239227 6ED710AE
8D2A63E9 D01D0F41 FAAFEA6E D6DE411B B2BF0FF6 4F37AF6E CDBBE8F3 01B0B161
FDA132F3 CC68D757 AEA159A0 E5BCE700 A1FE0CFA 037C23C3 4BE411DB C02E5F7B
02030100 01A36730 65300F06 03551D13 0101FF04 05300301 01FF3012 0603551D
11040B30 09820770 63312E6C 616E301F 0603551D 23041830 16801423 3435BD1D
AEF3360B 56DE72C3 C27BBA29 81588630 1D060355 1D0E0416 04142334 35BD1DAE
F3360B56 DE72C3C2 7BBA2981 5886300D 06092A86 4886F70D 01010405 00038181
00ABF449 978075D5 42AA6C23 3144CF74 105A98EB 3F479608 817C5BF6 984143A5
9D7F1693 974D498D 8348694B 0C9938F1 9D03EE2C E86762DE E9B40730 D1E6EFD3
7BE24AF4 B1C33494 8637B92A D8C0A515 8CD5E5F2 D4034B55 488073C9 663BACCD
F7585B52 D32C537E 01E87100 40866CFC 0311EA3F 2276C220 845D048F 7AFCEA23 EB
quit
dot11 syslog
no ip source-route
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool sdm-pool1
import all
network 192.168.1.0 255.255.255.0
dns-server 194.134.5.5 194.134.0.97
default-router 192.168.1.1
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip bootp server
ip domain name lan
ip name-server 194.134.5.5
ip name-server 194.134.0.97
!
!
!
username kreeho privilege 15 secret 5 $1$eJU1$sLcQkLAHBP4vsf3HDU.vD.
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
class-map type inspect match-all sdm-nat-http-1
match access-group 101
match protocol http
class-map type inspect match-any sdm-cls-insp-traffic
match protocol cuseeme
match protocol dns
match protocol ftp
match protocol h323
match protocol https
match protocol icmp
match protocol imap
match protocol pop3
match protocol netshow
match protocol shell
match protocol realmedia
match protocol rtsp
match protocol smtp extended
match protocol sql-net
match protocol streamworks
match protocol tftp
match protocol vdolive
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-insp-traffic
match class-map sdm-cls-insp-traffic
class-map type inspect match-any SDM-Voice-permit
match protocol h323
match protocol skinny
match protocol sip
class-map type inspect match-any sdm-cls-icmp-access
match protocol icmp
match protocol tcp
match protocol udp
class-map type inspect match-all sdm-invalid-src
match access-group 100
class-map type inspect match-all sdm-icmp-access
match class-map sdm-cls-icmp-access
class-map type inspect match-all sdm-protocol-http
match protocol http
!
!
policy-map type inspect sdm-permit-icmpreply
class type inspect sdm-icmp-access
inspect
class class-default
pass
policy-map type inspect sdm-pol-NATOutsideToInside-1
class type inspect sdm-nat-http-1
inspect
class class-default
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect sdm-insp-traffic
inspect
class type inspect sdm-protocol-http
inspect
class type inspect SDM-Voice-permit
inspect
class class-default
pass
policy-map type inspect sdm-permit
class class-default
!
zone security out-zone
zone security in-zone
zone-pair security sdm-zp-self-out source self destination out-zone
service-policy type inspect sdm-permit-icmpreply
zone-pair security sdm-zp-NATOutsideToInside-1 source out-zone destination in-zone
service-policy type inspect sdm-pol-NATOutsideToInside-1
zone-pair security sdm-zp-out-self source out-zone destination self
service-policy type inspect sdm-permit
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
!
!
!
interface BRI0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation hdlc
ip route-cache flow
shutdown
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 192.168.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
zone-member security in-zone
ip route-cache flow
ip tcp adjust-mss 1452
!
interface Dialer0
description $FW_OUTSIDE$
ip address 18.69.17.93 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
zone-member security out-zone
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxx@euronet.nl-512
ppp chap password XXXXXXXXXXXXXXXXXXXXXXXXXX
ppp pap sent-username xxxxxxxxxx@euronet.nl-512 password XXXXXXXXXXXXXXX
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.3 80 18.69.17.93 80 extendable
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 remark SDM_ACL Category=128
access-list 100 permit ip host 255.255.255.255 any
access-list 100 permit ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip 18.69.17.0 0.0.0.255 any
access-list 101 remark SDM_ACL Category=0
access-list 101 permit ip any host 192.168.1.3
dialer-list 1 protocol ip permit
no cdp run
!
!
!
control-plane
!
banner exec ^CC
% Password expiration warning.
-----------------------------------------------------------------------

Cisco Router and Security Device Manager (SDM) is installed on this device and
it provides the default username "cisco" for one-time use. If you have already
used the username "cisco" to login to the router and your IOS image supports the
"one-time" user option, then this username has already expired. You will not be
able to login to the router with this username after you exit this session.

It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.

username <myuser> privilege 15 secret 0 <mypassword>

Replace <myuser> and <mypassword> with the username and password you want to
use.

-----------------------------------------------------------------------
^C
banner login ^CCAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end

dinsdag 30 september 2008 14:11

Acties:

Verwijderd

Topicstarter

Hoe kan ik eenvoudig vanaf mijn interne pc toch det doen alsof ik vanaf buiten de pc benader.
Ik ga er even vanuit dat mijn nat loopback niet werkt/of ingesteld is.
Er werd al door Leon gesuggereerd om het met een externe proxy te proberen. Vind ik veel over, maar kan het niet direct toepassen.

dinsdag 30 september 2008 14:39

Acties:

JackBol

Security is not an option!

Verwijderd schreef op vrijdag 26 september 2008 @ 17:03:
interface Dialer0
ppp authentication chap pap callin
ppp chap hostname xxxxxxxxxx@euronet.nl-512
ppp chap password 7 XXXXXXX
ppp pap sent-username xxxxxxxxxx@euronet.nl-512 password 7 XXXXXXX

Haal even je password 7's weg. Die zijn namelijk te dehashen.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

dinsdag 30 september 2008 14:41

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Gewoon ff op MSN inloggen en aan een vriend vragen?

http://www.canyouseeme.org/ ?

Ohja, volgens mij mis je nog een access-list regel en die static uit je openingspost. Als je poort 80 naar 192.168.0.102 wilt doorsturen moeten de volgende regels erin staan:

access-list 102 permit tcp any host 192.168.10.102 eq 80
ip nat inside source static tcp 192.169.0.102 80 interface Dialer0 80

Vervolgens moet die ACL nog op een interface worden toegepast.

Vicariously I live while the whole world dies

dinsdag 30 september 2008 19:23

Acties:

Kabouterplop01

chown -R me base:all

Ik zou ook even acces-list 23 aanmaken.