Toon posts:

portforwarding / vpn connectie op cisco 800 series

Pagina: 1
Acties:
  • 426 views sinds 30-01-2008
  • Reageer

maandag 10 mei 2004 14:57

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Voor een klant van ons hebben we een 800 series Cisco router met adsl verbinding geconfigureerd.
Er is een VPN configuratie aangemaakt en dit werkt prima.
Ook is er een statisch forwarding van poort 25 aangemaakt om mail van de provider naar een simpele mail server te forwarden.

Echter is er nu het volgende probleem.

Als men met een VPN client verbinding maakt met de cisco, dan kan er geen verbinding worden gemaakt met de mail server op poort 25.

Ik ben er achter gekomen dat de statische NAT forwarding rule in de weg zit.
Als ik deze weg haal, kan de client via de vpn verbinding wel met de mailserver op poort 25 verbinding maken. Staat deze regel aan, dan werkt het niet.

Nu is mijn vraag, is dit een fout in mijn configuratie, een fout in de software of is er een technisch probleem waardoor het niet wil gaan werken wat ik wil ?

Stukkie config :

interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username xxxxx@xxxx password xxxx
crypto map crypto_map
!
ip local pool ip_pool 192.168.5.1 192.168.5.254
ip nat inside source route-map nonat interface Dialer0 overload
ip nat inside source static tcp MAILSERVER_ADRES 25 INTERNET_ADRES 25 <<====dit is dus de boosdoener
extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
ip pim bidir-enable
!
!
access-list 102 remark Permit VPN Range Client
access-list 102 permit ip 192.168.5.0 0.0.0.255 any
access-list 102 remark Open VPN ports & Others
access-list 102 permit esp any any
access-list 102 permit udp any host INTERNET_ADRES eq isakmp log
access-list 102 permit tcp any host INTERNET_ADRES eq smtp

access-list 120 remark Except Private to Private from NAT
access-list 120 deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 120 permit ip 192.168.4.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
route-map nonat permit 10
match ip address 120

maandag 10 mei 2004 22:42

Acties:

Verwijderd

Config lijkt goed te zijn zo op het eerste gezicht.. Heb je ook een global command? Kan je de mailserver wel bereiken op poort 25 op het internet adres na het opzetten van de vpn verbinding? Kan je de overige rules ook eens pasten? (nonat list?)

maandag 10 mei 2004 23:12

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Verwijderd schreef op 10 mei 2004 @ 22:42:
Config lijkt goed te zijn zo op het eerste gezicht.. Heb je ook een global command? Kan je de mailserver wel bereiken op poort 25 op het internet adres na het opzetten van de vpn verbinding? Kan je de overige rules ook eens pasten? (nonat list?)
Ja ik kan het nog even testen maar volgens mij komt er gewoon mail binnen van buiten als ik vpn verbinding heb, dus die NAT rule die werkt wel.
De nonat list staat erbij, list 120.
Welk global command bedoel je ?
Ik kan nu niet bij de config ik zal morgen de rest van de regels ff plakken.
tnx alvast

[ Voor 8% gewijzigd door relaxteb op 10-05-2004 23:13 ]

dinsdag 11 mei 2004 03:20

Acties:

Verwijderd

Probeer je de mailserver op zijn interne of externe adres te bereiken?

dinsdag 11 mei 2004 10:02

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Ok hier onder de config dan.
Als de klant met een vpn verbinding probeert het interne ip adres van de mail server te bereiken, in ons geval 192.168.4.2 dan lukt dat niet voor smpt en wel voor pop3. En dit komt dus door die statische nat regel die zorgt dat de smtp mail van de provider doorgenat wordt naar de mail server. Als deze nat regel weggehaald wordt dan kan je via de vpn verbinding wel smtp verbinding maken met de interne server.
Dus vpn client ip : 192.168.5.x probeert verbinding te maken met 192.168.4.2 via pop3 -> lukt
vpn client ip : 192.168.5.x probeert verbinding te maken met 192.168.4.2 via smtp -> lukt NIET


domein-router#sh run
Building configuration...

Current configuration : 3912 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname domein-router
!
!
ip subnet-zero
ip domain-name domein.nl
ip name-server 194.109.6.66
ip name-server 194.109.9.99
ip name-server 194.109.104.104
!
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect dns-timeout 10
ip inspect name inside tcp
ip inspect name inside udp
ip ssh time-out 60
ip ssh authentication-retries 2
!
crypto isakmp policy 5
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group domein-remote
key passwoord
dns 192.168.4.1
wins 192.168.4.1
domain domein.nl
pool domein_pool
!
!
crypto ipsec transform-set domein_set esp-des esp-md5-hmac
!
crypto dynamic-map dynmap 10
set transform-set domein_set
!
!
crypto map domein_map client authentication list userauthen
crypto map domein_map isakmp authorization list groupauthor
crypto map domein_map client configuration address respond
crypto map domein_map 10 ipsec-isakmp dynamic dynmap
!
!
interface Ethernet0
ip address 192.168.4.254 255.255.255.0
ip nat inside
ip inspect inside in
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/48
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
hold-queue 224 in
!
interface Dialer0
ip address negotiated
ip access-group 102 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no peer default ip address
ppp authentication pap callin
ppp pap sent-username domein@xxxxxxxx.nl password xxxxxxxx
crypto map domein_map
!
ip local pool domein_pool 192.168.5.1 192.168.5.254
ip nat inside source route-map nonat interface Dialer0 overload
ip nat inside source static tcp 192.168.4.2 25 INTERNET_IP 25 extendable
ip nat inside source static tcp 192.168.4.2 444 INTERNET_IP 444 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
no ip http server
ip pim bidir-enable
!
!
access-list 1 remark Permit for Dialup
access-list 1 permit 192.168.4.0 0.0.0.255
access-list 102 remark Permit VPN Range Client
access-list 102 permit ip 192.168.5.0 0.0.0.255 any
access-list 102 remark Open VPN ports & Others
access-list 102 permit esp any any
access-list 102 permit udp any host INTERNET_IP eq isakmp log
access-list 102 permit tcp any host INTERNET_IP eq smtp
access-list 102 permit tcp any any eq 22
access-list 102 remark Allow Webmail
access-list 102 permit tcp any host INTERNET_IP eq 444
access-list 102 remark Open Passive FTP
access-list 102 permit tcp any eq ftp any
access-list 102 permit tcp any eq ftp-data any
access-list 102 remark Allow Ping
access-list 102 permit icmp any any
access-list 120 remark Except Private to Private from NAT
access-list 120 deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0.255
access-list 120 permit ip 192.168.4.0 0.0.0.255 any
dialer-list 1 protocol ip list 101
route-map nonat permit 10
match ip address 120
!
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
login local
transport input ssh
!
scheduler max-task-time 5000
end

domein-router#

dinsdag 11 mei 2004 10:09

Acties:
  • Grolsch
  • Registratie: Maart 2003
  • Laatst online: 17:31

Grolsch

zet eens een lijstje met ipconfiguratie's van de client/cisco/mail server, een beetje onduidelijk dit.

De cisco heeft dus deze instelling:

IP adress 192.168.4.254 255.255.255.0


en de clients krijg een ip uit deze reeks:

192.168.5.1 192.168.5.254 /24

welke gateway krijgt de client mee, en wat is het ip van de mail server?

PVOUPUT - 13.400WP - Twente

dinsdag 11 mei 2004 10:43

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Grolsch schreef op 11 mei 2004 @ 10:09:
zet eens een lijstje met ipconfiguratie's van de client/cisco/mail server, een beetje onduidelijk dit.

De cisco heeft dus deze instelling:

IP adress 192.168.4.254 255.255.255.0


en de clients krijg een ip uit deze reeks:

192.168.5.1 192.168.5.254 /24

welke gateway krijgt de client mee, en wat is het ip van de mail server?
OK, situatie :

MAILSERVER-------CISCO------INTERNET------CLIENT

mailserver : 192.168.4.2
cisco intern: 192.168.4.254
cisco extern: extern ip adres van provider
client ip adres : 192.168.5.X
client gateway : is zijn eigen ip adres

woensdag 12 mei 2004 12:33

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Heeft niemand een idee ? Lijkt me toch dat dit wel vaker zou voorkomen ?

woensdag 12 mei 2004 15:25

Acties:

Verwijderd

Heb je geen cisco support contract?? :)

woensdag 12 mei 2004 16:56

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Verwijderd schreef op 12 mei 2004 @ 15:25:
Heb je geen cisco support contract?? :)
Zou ik dan hier mijn vraag stellen denk je ?

woensdag 12 mei 2004 19:35

Acties:

Verwijderd

Meph schreef op 12 mei 2004 @ 19:16:
Ik denk het niet, dan had je namelijk al lang een antwoord gehad :)

Ennieweej, misschien dat je hier iets mee kunt:


Configuring VPN IPSec Support Through NAT
This feature is available on the following Cisco routers:

Cisco 826 and Cisco 836
Cisco 827, Cisco 827H, Cisco 827-4V, Cisco 831, and Cisco 837
Cisco 828
Cisco SOHO 77, Cisco SOHO 78, Cisco SOHO 96, and Cisco SOHO 97
Cisco IOS Release 12.2(2)XI NAT supports IP Security (IPSec) client software that does not use Transmission Control Protocol (TCP) wrapping or User Datagram Protocol (UDP) wrapping. On Cisco routers, this feature allows the simultaneous use of multiple, PC-based IPSec clients on which IPSec packet wrapping is disabled or is not supported. When PCs connected to the router create an IPSec tunnel, network address translation (NAT) on the router translates the private IP addresses in these packets to public IP addresses. This NAT feature also supports multiple Point-to-Point Tunnel Protocol (PPTP) sessions, which may be initiated by PCs with PPTP client software.

You must enter the following command in global configuration mode for this feature to work:

ip nat inside source list number interface BVI number overload
NAT Default Inside Server Enhancement
This feature is supported on the following Cisco routers:

Cisco 831, Cisco 836, and Cisco 837
Cisco SOHO 91, Cisco SOHO 96, and Cisco SOHO 97
The NAT command has been extended to allow you to specify an inside local address to receive packets that do not match criteria in other NAT statements in the configuration.

The syntax is as follows:

ip nat inside source static inside_local interface interface_name
Configuration Example
Several NAT statements direct traffic to the address 20.0.0.14. All packets not matching those NAT statements will be routed to 20.0.0.16.

Current configuration :942 bytes
!
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname c836-1
!
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
interface Ethernet0
ip address 20.0.0.1 255.0.0.0
ip nat inside
hold-queue 100 out
!
interface Ethernet1
ip address 10.0.0.1 255.0.0.0
ip nat outside
!
ip nat inside source static tcp 20.0.0.14 80 interface Ethernet1 80
ip nat inside source static udp 20.0.0.14 161 interface Ethernet1 161
!
ip nat inside source static 20.0.0.16 interface Ethernet1
! 20.0.0.16 is defined as the catch-all address
!
ip nat inside source static udp 20.0.0.14 1000 interface Ethernet1 1000
! udp port 1000 traffic will be routed to 20.0.0.14
!
ip nat inside source static tcp 20.0.0.14 23 interface Ethernet1 23
! telnet traffic will be routed to 20.0.0.14
!
ip classless
no ip http server
!
!
line con 0
stopbits 1
line vty 0 4
password lab
login
Wat voor router heb je precies?

donderdag 13 mei 2004 09:21

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Het is een Cisco 826.
Wat ik zo vreemd vind is dat ik verder geen reacties zie. Het lijkt mij toch echt vaker voor te komen. De statische nat regel voor poort 25 werkt ook goed.
Alleen de vpn client kan dus niet de interne server op poort 25 benaderen, behalve als ik dus die regel weg haal

donderdag 13 mei 2004 11:09

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Oplossing gevonden :

ip nat inside source static intern_ip 25 extern_ip 25 routemap nonat extendable

Dit commando zat helaas niet in de IOS versie die ik op de router had staan :S

Met veelen dank aan FlyDuck

zaterdag 15 mei 2004 19:31

Acties:
  • Zoetjuh
  • Registratie: Oktober 2001
  • Laatst online: 10-01-2024

Zoetjuh

Even terzijde, een vraage; waarom:

"ip nat inside source static tcp 192.168.4.2 25 INTERNET_IP 25 extendable"

en niet:

"ip nat inside source static tcp 192.168.4.2 25 Dialer0 25 extendable"

Ik zie meer mensen altijd het externe IP neerzetten, maar vraag me wel eens af waarom?

[ Voor 21% gewijzigd door Zoetjuh op 15-05-2004 19:33 ]

maandag 24 mei 2004 14:43

Acties:
  • relaxteb
  • Registratie: April 2002
  • Laatst online: 06-05 10:11

relaxteb

Topicstarter
Zoetjuh schreef op 15 mei 2004 @ 19:31:
Even terzijde, een vraage; waarom:

"ip nat inside source static tcp 192.168.4.2 25 INTERNET_IP 25 extendable"

en niet:

"ip nat inside source static tcp 192.168.4.2 25 Dialer0 25 extendable"

Ik zie meer mensen altijd het externe IP neerzetten, maar vraag me wel eens af waarom?
Ja had ook gekunnen, wat is het voordeel ervan ?
Nu kan ik nog onderscheid maken tussen evt. meerdere ip adressen op de dialer interface.
Pagina: 1
Reageer