Toon posts:

[Cisco] NAT

Pagina: 1
Acties:

dinsdag 24 augustus 2010 08:26

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 26-02 19:20

enveekaa

Topicstarter
Ik ben bezig met een NAT setup, maar kom er niet helemaal uit.

Dit is de situatie
Afbeeldingslocatie: http://i35.tinypic.com/t7nzx2.jpg

Ik wil graag endusers uit 172.16.2.0/24 laten verbinden met de 192.168.112.1 (de firewall links).
Omdat het net 172.16.2.0/24 al bestaat achter die firewall wil ik graag natten. Ik probeer dit te doen op R1.

Dit is de config die ik tot nu doe heb, maar als ik dit configureer is heel de router niet meer bereikbaar :)
code:
1
2
3
4
5
6
7

int serial 0 
ip nat outside
int ethernet 0
ip nat inside
access-list 1 permit any
ip nat inside source static 192.168.1.65 192.168.112.1
ip nat inside source list 1 interface serial 0 overload


Kan ik uberhaupt wel natten voor een ip adres (192.168.1.65) die de router niet heeft? Of wordt deze gewoon virtueel aangemaakt.

Ik betwijfel of ik overload wel moet gebruiken? een static nat entry zou toch voldoende moeten zijn?

[ Voor 6% gewijzigd door enveekaa op 24-08-2010 08:38 ]

dinsdag 24 augustus 2010 08:59

Acties:
  • snakeye
  • Registratie: Januari 2000
  • Laatst online: 26-02 14:51

snakeye

enveekaa schreef op dinsdag 24 augustus 2010 @ 08:26:
Ik ben bezig met een NAT setup, maar kom er niet helemaal uit.

Dit is de situatie
[afbeelding]

Ik wil graag endusers uit 172.16.2.0/24 laten verbinden met de 192.168.112.1 (de firewall links).
Omdat het net 172.16.2.0/24 al bestaat achter die firewall wil ik graag natten. Ik probeer dit te doen op R1.

Dit is de config die ik tot nu doe heb, maar als ik dit configureer is heel de router niet meer bereikbaar :)
code:
1
2
3
4
5
6
7

int serial 0 
ip nat outside
int ethernet 0
ip nat inside
access-list 1 permit any
ip nat inside source static 192.168.1.65 192.168.112.1
ip nat inside source list 1 interface serial 0 overload


Kan ik uberhaupt wel natten voor een ip adres (192.168.1.65) die de router niet heeft? Of wordt deze gewoon virtueel aangemaakt.

Ik betwijfel of ik overload wel moet gebruiken? een static nat entry zou toch voldoende moeten zijn?
Of je overload moet gebruiken hangt af van wat je wil bereiken.

Overload = PAT . Aka alle adressen worden in config gehide achter het ip adres van serial0.
Patten betekend echter wel dat het verkeer alleen geïniteerd kan worden vanuit jouw netwerk. Andersom zal je geen connecties kunnen opzetten.

Static is het 1 op 1 vertalen van een ip adres . Dit heb je nodig als je vanuit het andere netwerk connecties wil opzetten naar systemen welke zich achter jouw nat router bevinden. Bijv een printserver die naar een printer moet connecten.


Aan je nat config zie ik zo 123 niks verkeerds
Word het netwerk wat aan je serial interface hangt correct gerouteerd vanuit het netwerk aan de overkant?
Als je NAT config actief is zal source adres je serial interface zijn.

Atari 2600 @ 1,1 Hz, 1 Bits speaker, 16 Kb mem, 8 kleuren..

dinsdag 24 augustus 2010 09:03

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 26-02 19:20

enveekaa

Topicstarter
Een static entry lijkt me dan genoeg, ik wil namelijk 192.168.1.0/24 bereikbaar houden voor 192.168.112.0/24.
Als ik overload ga gebruiken zal verkeer niet verder komen dan Serial 0 van R1.. ?

Heb het nu werkend, mijn access list klopte niet :)

De nieuwe access-lsit ziet er zo uit:
code:
1
2
3
4

access-list 1 deny   192.168.1.61
access-list 1 deny   192.168.1.63
access-list 1 deny   192.168.1.62
access-list 1 permit 192.168.1.0 0.0.0.255

[ Voor 41% gewijzigd door enveekaa op 24-08-2010 11:12 ]

woensdag 25 augustus 2010 12:45

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 26-02 19:20

enveekaa

Topicstarter
Dit is de config op dit moment:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

hostname RTR_PAP_ZTM
!
ip subnet-zero
no ip domain lookup
!
interface Ethernet0
 description DMZ IV
 ip address 192.168.1.60 255.255.255.0
 ip nat inside
!
interface Serial0
 description Transit RTR_ZTM_PAP
 bandwidth 512
 ip address 192.168.112.130 255.255.255.128
 ip nat outside
!
ip nat inside source list 1 interface Serial0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.112.129
no ip http server
!
access-list 1 deny   192.168.1.61
access-list 1 deny   192.168.1.63
access-list 1 deny   192.168.1.62
access-list 1 permit 192.168.1.0 0.0.0.255


Alles achter interface serial0 wordt genat naar 192.168.112.130 de outside interface van de router.
Via een access-list worden 192.168.61,62,63 en 64 uitgesloten, deze zijn dus gerouteerd, so far so good.

Nu wil ik op de ethernet0 interface (inside) een static nat entry maken naar 10.20.5.95 voor iedereen achter die interface, als ik gewoon ip nat inside source static 10.20.5.95 192.168.1.64 toevoeg werkt dit niet. Iemand een idee hoe dit wel moet werken?

woensdag 25 augustus 2010 12:57

Acties:
  • Vicarious
  • Registratie: Juni 2008
  • Laatst online: 24-06-2024

Vicarious

☑Rekt | ☐ Not rekt

Het IP-adres 10.20.5.95 valt niet binnen de subnetten die op je router staan, dus wat wil je precies?

Vicariously I live while the whole world dies

woensdag 25 augustus 2010 13:58

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 26-02 19:20

enveekaa

Topicstarter
Moet dat dan? Ik kan toch een static nat entry maken naar een ip in een ander subnet? zolang de routering maar goed staat.

En die routering is in orde want ik kan vanaf de router pingen naar 10.20.5.*.

[ Voor 25% gewijzigd door enveekaa op 25-08-2010 13:59 ]

woensdag 25 augustus 2010 14:20

Acties:
  • DrFlash
  • Registratie: Juli 2009
  • Laatst online: 14-12-2025

DrFlash

enveekaa schreef op woensdag 25 augustus 2010 @ 13:58:
Moet dat dan? Ik kan toch een static nat entry maken naar een ip in een ander subnet? zolang de routering maar goed staat.

En die routering is in orde want ik kan vanaf de router pingen naar 10.20.5.*.
Je kan alleen naar binnen Nat opzetten, dus niet op een netwerk wat achter je outside interface zit, aangezien jij geen route heb opgezet naar 10.20.5.* via inside kan ik er alleen vanuit gaan dat dat netwerk dus op de outside zit en dat gaat niet werken.

Hier is overigens een regel uit mijn cisco (c2821) waarbij g0/1 de wan interface is, en 10.10.11.254 een ip op een intern netwerk.

ip nat inside source static tcp 10.10.11.254 80 interface GigabitEthernet0/1 80

[ Voor 15% gewijzigd door DrFlash op 25-08-2010 14:24 ]

Wowhead profiel

woensdag 25 augustus 2010 15:23

Acties:
  • enveekaa
  • Registratie: September 2003
  • Laatst online: 26-02 19:20

enveekaa

Topicstarter
Aha! Ik kan dus onmogelijk natten naar een netwerk achter mijn outside, eigenlijk wel logisch.
Ik heb het nu anders opgelost, er staat een zelfde router aan de andere kan van de serial0 en daar heb ik een static nat op aangemaakt naar 10.20.5.95. Dat werkt als een zonnetje. Thanks.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq