Toon posts:

Cisco 1841 NAT of Bridge

Pagina: 1
Acties:

zaterdag 14 maart 2009 17:46

Acties:
  • Joolee
  • Registratie: Juni 2005
  • Niet online

Joolee

Topicstarter
Ik ben bezig een router in te stellen voor een omgeving waar meerdere netwerken bij internet moeten kunnen zonder bij elkaar te kunnen. Hiervoor heb ik een aantal subinterfaces gemaakt op de LAN interface welke ieder hun eigen Vlan en IP hebben. (10.0.vlan.1) Voor ieder Vlan is er een DHCP pool zodat de juiste adressen uitgedeeld worden.

Tot zover werkt alles. De clients hebben toegang tot internet en kunnen niet op andere Vlans terecht. Ze krijgen niet eens response van de router als je handmatig een IP adres uit een ander subnet configureert.

Een aantal van deze Vlans heeft een eigen extern IP adres (ik heb er 30 beschikbaar) om een server op te kunnen draaien. Het maakt op zich niet echt uit of dat via NAT gebeurt mbv een DMZ of dat het subnet gebridged wordt.
Ik krijg het niet voor elkaar met alles wat ik al geprobeert heb.

Configuratie (Alleen Vlans 20 en 21, er zijn er nog meer)
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.20.1 10.0.20.49
ip dhcp excluded-address 10.0.20.201 10.0.20.254
ip dhcp excluded-address 10.0.21.1 10.0.21.49
ip dhcp excluded-address 10.0.21.201 10.0.21.254

ip dhcp pool Vlan20
   network 10.0.20.0 255.255.255.0
   dns-server 10.0.20.1 
   default-router 10.0.20.1 
!
ip dhcp pool Vlan21
   network 10.0.21.0 255.255.255.0
   dns-server 10.0.21.1 
   default-router 10.0.21.1 
!

interface FastEthernet0/0
 description $ETH-SW-LAUNCH$$INTF-INFO-FE 0$$ES_WAN$$FW_OUTSIDE$$ETH-WAN$
 ip address 77.xxx.xxx.xxx 255.255.255.224
 ip verify unicast reverse-path
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 ip route-cache flow
 duplex auto
 speed auto
 no mop enabled
!
interface FastEthernet0/1
 no ip address
!
interface FastEthernet0/1.1
 description $ETH-LAN$
 encapsulation dot1Q 1 native
 ip address 10.0.1.1 255.255.255.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly
 no snmp trap link-status
 no cdp enable
!
interface FastEthernet0/1.20
 description $ETH-LAN$
 encapsulation dot1Q 20
 ip address 10.0.20.1 255.255.255.0
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly
 no snmp trap link-status
 no cdp enable
!
interface FastEthernet0/1.21
 description $ETH-LAN$
 encapsulation dot1Q 21
 ip address 10.0.21.1 255.255.255.0
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat inside
 ip virtual-reassembly
 no snmp trap link-status
 no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 77.xxx.xxx.33
!
ip nat pool 77.xxx.xxx.60 77.xxx.xxx.60 77.xxx.xxx.60 netmask 255.255.255.255
ip nat pool 77.xxx.xxx.59 77.xxx..xxx.59 77.xxx.xxx.59 netmask 255.255.255.255
ip nat pool 77.xxx.xxx.58 77.xxx..xxx.58 77.xxx.xxx.58 netmask 255.255.255.255
ip nat pool 77.xxx.xxx.41 77.xxx..xxx.41 77.xxx.xxx.41 netmask 255.255.255.255
!
ip nat inside source list 1 interface FastEthernet0/0 overload
access-list 1 remark INSIDE_IF=FastEthernet0/1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.0.0.0 0.0.255.255

De router hangt achter een Linux bak in een bridged Vlan (Oude situatie) maar als ik de WAN poort van de router een ander adres geef (uit mijn reeks) is deze wel bereikbaar dus dat zou geen probleem moeten zijn.

Wat ik al geprobeert heb:
secondary IP adressen toekennen aan de WAN interface en MBV een Access List tenminste het Vlan aan de buitenwereld kenbaar maken onder dat andere adres.
ip dhcp pool Vlan20
   network 10.1.20.0 255.255.255.0
   dns-server 10.1.20.1 
   default-router 10.1.20.1 
!
ip access-list standard NAT_Test
 remark SDM_ACL Category=2
 permit 10.1.0.0 0.255.255.255
!
ip nat inside source list NAT_Test pool 77.xxx.xxx.41
Dit werkt. Maar zodra ik dan het volgende uitvoer:
ip nat inside source static 77.242.113.41 10.1.200.50

(10.1.200.50 komt van de DHCP)
Ik krijg dan een IP conflict error in Windows en als ik de netwerkadapter reset werkt het de eerste keer wel. Als ik dan statisch hetzelfde IP ga toekennen dat eerst via DHCP kwam werkt het ineens niet meer. Laat ik hem weer door DHCP ophalen werkt nog steeds niet.
De translations zijn volgens de router ineens:
show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
udp 77.xxx.xxx.41:123  10.0.1.12:123      138.195.130.70:123 138.195.130.70:123
udp 77.xxx.xxx.41:123  10.0.1.12:123      207.46.232.182:123 207.46.232.182:123
udp 77.xxx.xxx.41:1027 10.0.1.12:1027     60.15.177.169:42516 60.15.177.169:42516
--- 77.xxx.xxx.41      10.0.1.12          ---                ---
Maakt niet uit hoe vaak ik "ip nat inside..." dan nog uitvoer... (10.0.1.12 is het IP van 1 van de switches, niet degene waar mijn test "server" aan hangt.)

Vreemde ook is dat er ook geen verbinding met internet meer is op de "server".

Ik kom er niet meer uit, misschien kan iemand mij vertellen wat ik fout doe of waar ik op moet letten. :'(

[ Voor 4% gewijzigd door Joolee op 14-03-2009 17:54 ]

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq