[Cisco NAT] verschil in NAT oplossing - Netwerken

donderdag 20 mei 2004 17:52

Acties:

Topicstarter

Ok,

Ik ben nu al een tijdje aan het zoeken naar een oplossing voor mijn 'probleem'.

Ik heb kabel internet van Chello. Dit komt bij mij binnen op een Cisco 3620 router op interface eth0/0. Interface eth0/1 gaat naar mijn netwerk.

Nu draait dat perfect (al een tijdje). De NAT translatie draait ook perfect (zie onder voor een stukje code). Alleen heb ik het probleem dat als Chello het IP adres veranderd (wat in vier jaar nog maar twee keer gebeurd is) dat dan mijn NAT translatie niet meer klopt. Zoals je hieronder kunt lezen maak ik gebruik van een NAT Pool (statisch dus).

code:

ip nat pool ovrld 212.83.ccc.ddd 212.83.ccc.ddd prefix-length 24
ip nat inside source list 7 pool ovrld overload
ip nat inside source static tcp 192.168.0.27 22 212.83.ccc.ddd 22 extendable
ip nat inside source static tcp 192.168.0.27 21 212.83.ccc.ddd 21 extendable
ip nat inside source static udp 192.168.0.27 20 212.83.ccc.ddd 20 extendable
ip nat inside source static tcp 192.168.0.27 80 212.83.ccc.ddd 80 extendable
ip nat inside source static tcp 192.168.0.27 10000 212.83.ccc.ddd 10000 extendable
ip nat inside source static tcp 192.168.0.27 110 212.83.ccc.ddd 110 extendable

Wat ik nu eigenlijk wil is dat als Chello het adres wijzigd dat dan alles gewoon dynamisch aangepast wordt.

Mijn idee is nu om hetvolgende toe te passen:

code:

ip nat inside source list 7 interface ethernet 0/0 overload
ip nat inside source static tcp 192.168.0.27 22 interface ethernet 0/0 22 extendable
ip nat inside source static tcp 192.168.0.27 21 interface ethernet 0/0 21 extendable
ip nat inside source static udp 192.168.0.27 20 interface ethernet 0/0 20 extendable
ip nat inside source static tcp 192.168.0.27 80 interface ethernet 0/0 80 extendable
ip nat inside source static tcp 192.168.0.27 10000 interface ethernet 0/0 10000 extendable
ip nat inside source static tcp 192.168.0.27 110 interface ethernet 0/0 110 extendable

Zoals je ziet heb ik hier het pool principe weg gegooid en heb 'interface ethernet 0/0' toegevoegd in plaats van het ip adres (outside address).

Zou dit kunnen gaan werken?
Ik kom namelijk de combinatie nooit zo tegen in voorbeelden of TAC pagina's. Alleen maar een ISDN router bijvoorbeeld die NAT toepast, maar dan zonder virtuele servers (dan gebruik je dus het interface commando), of een router met een vaste aansluiting (zoals ik heb) en dan met gebruik van virtuele servers (zoals ik gebruik, webserver, SSH, FTP, etc.) en dan maak je gebruik van een POOL.

Voordat ik het probeer zou ik graag zien dat mijn idee door jullie ofwel lekgeschoten wordt (met goede argumenten) of 'goedgekeurd'

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

donderdag 20 mei 2004 18:52

Acties:

Jiboom

Dat gaat werken. Ik heb namelijk een zeer vergelijkbare config draaien op mijn 1605R in combinatie met een Demon ADSL verbinding. Ik kan mijn webserver en Citrix Metaframe server zonder problemen benaderen.

Maar ik neem aan dat het om je thuisnetwerk gaat. Dan is er vast wel een moment te vinden waarop je het even kan uitproberen, bij mij meestal om 2 uur 's nachts

[edit]
Je moet trouwens wel dat "extendable" weglaten aan het eind van je regels.

[ Voor 12% gewijzigd door Jiboom op 20-05-2004 19:00 ]

donderdag 20 mei 2004 19:05

Acties:

DJ

Topicstarter

Ja, het is ook geen probleem om het te testen. Ik wilde alleen even zeker weten voordat ik het zou gaan testen. Uiteraard heb ik een backup van de huidige config. Dus als het fout gaat kan ik terug. Het vreemde is alleen dat ik in de standaard voorbeelden en TAC pagina's deze combinatie nooit tegen kom. Ook Config maker (niet dat dat nu een SUPER tool is

) kan deze config niet maken. Vandaar mijn vraag.

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

donderdag 20 mei 2004 21:46

Acties:

proza

Ter aanvulling, dit werkt ook perfect in de Cisco PIX met een dynamisch IP adres op de outside interface. Hieronder een stukje van de config;

code:

access-list acl_inbound permit icmp any host <OUTSIDE_IP_ADDRESS> echo-reply log
access-list acl_inbound permit tcp any any eq smtp
access-list acl_outbound permit ip host 192.168.64.4 any

ip address outside dhcp setroute
ip address inside 192.168.64.254 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list nonat
nat (inside) 1 192.168.64.0 255.255.255.0 0 0
static (inside,outside) tcp interface smtp 192.168.64.4 smtp netmask 255.255.255.255 0 0
access-group acl_inbound in interface outside
access-group acl_outbound in interface inside

$_/-\o_$

If you see me collapse, pause my Garmin!🚶🏃

vrijdag 21 mei 2004 14:15

Acties:

Verwijderd

DJ schreef op 20 mei 2004 @ 17:52:
Ok,

Ik ben nu al een tijdje aan het zoeken naar een oplossing voor mijn 'probleem'.

Ik heb kabel internet van Chello. Dit komt bij mij binnen op een Cisco 3620 router op interface eth0/0. Interface eth0/1 gaat naar mijn netwerk.

Nu draait dat perfect (al een tijdje). De NAT translatie draait ook perfect (zie onder voor een stukje code). Alleen heb ik het probleem dat als Chello het IP adres veranderd (wat in vier jaar nog maar twee keer gebeurd is) dat dan mijn NAT translatie niet meer klopt. Zoals je hieronder kunt lezen maak ik gebruik van een NAT Pool (statisch dus).
code:
1
2
3
4
5
6
7
8
ip nat pool ovrld 212.83.ccc.ddd 212.83.ccc.ddd prefix-length 24
ip nat inside source list 7 pool ovrld overload
ip nat inside source static tcp 192.168.0.27 22 212.83.ccc.ddd 22 extendable
ip nat inside source static tcp 192.168.0.27 21 212.83.ccc.ddd 21 extendable
ip nat inside source static udp 192.168.0.27 20 212.83.ccc.ddd 20 extendable
ip nat inside source static tcp 192.168.0.27 80 212.83.ccc.ddd 80 extendable
ip nat inside source static tcp 192.168.0.27 10000 212.83.ccc.ddd 10000 extendable
ip nat inside source static tcp 192.168.0.27 110 212.83.ccc.ddd 110 extendable
Wat ik nu eigenlijk wil is dat als Chello het adres wijzigd dat dan alles gewoon dynamisch aangepast wordt.

Mijn idee is nu om hetvolgende toe te passen:
code:
1
2
3
4
5
6
7
ip nat inside source list 7 interface ethernet 0/0 overload
ip nat inside source static tcp 192.168.0.27 22 interface ethernet 0/0 22 extendable
ip nat inside source static tcp 192.168.0.27 21 interface ethernet 0/0 21 extendable
ip nat inside source static udp 192.168.0.27 20 interface ethernet 0/0 20 extendable
ip nat inside source static tcp 192.168.0.27 80 interface ethernet 0/0 80 extendable
ip nat inside source static tcp 192.168.0.27 10000 interface ethernet 0/0 10000 extendable
ip nat inside source static tcp 192.168.0.27 110 interface ethernet 0/0 110 extendable
Zoals je ziet heb ik hier het pool principe weg gegooid en heb 'interface ethernet 0/0' toegevoegd in plaats van het ip adres (outside address).

Zou dit kunnen gaan werken?
Ik kom namelijk de combinatie nooit zo tegen in voorbeelden of TAC pagina's. Alleen maar een ISDN router bijvoorbeeld die NAT toepast, maar dan zonder virtuele servers (dan gebruik je dus het interface commando), of een router met een vaste aansluiting (zoals ik heb) en dan met gebruik van virtuele servers (zoals ik gebruik, webserver, SSH, FTP, etc.) en dan maak je gebruik van een POOL.

Voordat ik het probeer zou ik graag zien dat mijn idee door jullie ofwel lekgeschoten wordt (met goede argumenten) of 'goedgekeurd'

approved, zo werk ik al jaren

gebruik je ook het ip address dhcp client-id ethernet 0/0 anders ziet chello zo aan je dhcp string dat je een cisco gebruikt en ook welge ios versie.

vrijdag 21 mei 2004 14:46

Acties:

DJ

Topicstarter

Ik gebruik dit stukje code:

code:

interface Ethernet0/0
 description Uplink naar Chello
 mac-address aaaa.bbbb.cccc (MAC ades van de 3COM die ik van Chello gekregen heb)
 ip address dhcp
 ip accounting output-packets
 ip nat outside
 ip irdp
 service-policy input mark-inbound-http-hacks
 rate-limit input 2616000 327680 327680 conform-action continue exceed-action drop
 ip route-cache flow
 half-duplex
 no cdp enable
!

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

zaterdag 22 mei 2004 21:52

Acties:

Verwijderd

DJ schreef op 21 mei 2004 @ 14:46:
Ik gebruik dit stukje code:

code:

interface Ethernet0/0
 description Uplink naar Chello
 mac-address aaaa.bbbb.cccc (MAC ades van de 3COM die ik van Chello gekregen heb)
 ip address dhcp
 ip accounting output-packets
 ip nat outside
 ip irdp
 service-policy input mark-inbound-http-hacks
 rate-limit input 2616000 327680 327680 conform-action continue exceed-action drop
 ip route-cache flow
 half-duplex
 no cdp enable
!

Eh ik zou dus ook het cient-id eth0 achter dhcp zetten anders krijgt chello een soort uniek id van jouw zoals : " Cisco 3620 ios versie bla bla bla".

en al eens traffic shaping i.p.v. rate limiting geprobeerd, rate limiting hangt zwaar op tcp om je sessies levend te houden

maandag 24 mei 2004 10:30

Acties:

DJ

Topicstarter

Als ik het goed begrijp dan geeft de router bij een DHCP request dan dus niet alle info, maar alleen zijn eigen MAC address mee? En dus het ingestelde MAC address wat ik opgegeven heb?

Ik ben nog niet aan traffic shaping begonnen, omdat ik het eigenlijk ook niet nodig heb. Ik heb de rate-limit aangezet omdat er op www.chelloo.com te lezen was dat als je de verbinding constant kon houden (dus niet boven de maximum grens van het kabelmodem komen) dat je dan een gemiddeld snellere verbinding kon krijgen. Nu valt het te verwaarlozen op mijn verbinding, maar het is wel meetbaar. Met deze rate-limit zijn de pieken eruit, alleen is het gemiddelde wel hetzelfde gebleven.

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

maandag 24 mei 2004 16:54

Acties:

Verwijderd

DJ schreef op 24 mei 2004 @ 10:30:
Als ik het goed begrijp dan geeft de router bij een DHCP request dan dus niet alle info, maar alleen zijn eigen MAC address mee? En dus het ingestelde MAC address wat ik opgegeven heb?.

klopt dan vult hij het opgegeven mac adres in het optional dhcp client id veld in (ja ja, optional is verplicht voor microsoft, geweldig he die standaards, ieder zou er een moeten hebben)

DJ schreef op 24 mei 2004 @ 10:30:
Ik ben nog niet aan traffic shaping begonnen, omdat ik het eigenlijk ook niet nodig heb. Ik heb de rate-limit aangezet omdat er op www.chelloo.com te lezen was dat als je de verbinding constant kon houden (dus niet boven de maximum grens van het kabelmodem komen) dat je dan een gemiddeld snellere verbinding kon krijgen. Nu valt het te verwaarlozen op mijn verbinding, maar het is wel meetbaar. Met deze rate-limit zijn de pieken eruit, alleen is het gemiddelde wel hetzelfde gebleven.

ja, echter rate limiting doet tail drops en vraagt dus correctie van je tcp stack. shaping dropt de packetten niet maar verstuurd ze verlaat, dit wordt door de tcp stack gemerkt omdat het tcp window vol loopt. Kortom gaat er netto meer data over de lijn met shapen omdat er niet gecorrigeerd hoeft te worden.

Let echter wel even op dat je alleen uitgaand verkeer kunt shapen, dit betekend voor een router met 2 interfaces dat je wan interface je upstream shaped en je lan je downstream.

het commando is op interface niveau

traffic-shape rate {bps waarde}

je kunt het controleren door

show ip traffic-shape statistics in te geven.

[ Voor 12% gewijzigd door Verwijderd op 24-05-2004 16:57 ]

dinsdag 25 mei 2004 10:39

Acties:

DJ

Topicstarter

Thanx

Ik zal binnenkort eens alle pointers hier gaan doorvoeren in mijn routertje . . .

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

dinsdag 25 mei 2004 17:27

Acties:

Verwijderd

no problem, suc6

DJ schreef op 25 mei 2004 @ 10:39:
Thanx

Ik zal binnenkort eens alle pointers hier gaan doorvoeren in mijn routertje . . .

donderdag 27 mei 2004 00:57

Acties:

Verwijderd

Waarom moet je het woord extandable weghalen wat doet dit precies?

donderdag 27 mei 2004 15:00

Acties:

Verwijderd

Verwijderd schreef op 27 mei 2004 @ 00:57:
Waarom moet je het woord extandable weghalen wat doet dit precies?

The extendable keyword allows the user to configure several ambiguous static translations, where an ambiguous translations are translations with the same local or global address

niet echt van toepassing, dus zou ook weg gelaten mogen worden in een normale pat omgeving.

[ Voor 8% gewijzigd door Verwijderd op 27-05-2004 15:00 ]

donderdag 27 mei 2004 17:50

Acties:

DJ

Topicstarter

Ik heb het nu weggelaten en het draait nog steeds perfect.
De volgende stap om door te voeren is het implementeren van de FireWall rules (ip inspect etc . . .). Ik heb daar al een opzetje voor. Gelukkig heb ik een ruime Feature Set erin zitten

(c3620-jk8o3s-mz.122-19.bin).

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest

vrijdag 28 mei 2004 10:42

Acties:

Verwijderd

DJ schreef op 27 mei 2004 @ 17:50:
Ik heb het nu weggelaten en het draait nog steeds perfect.
De volgende stap om door te voeren is het implementeren van de FireWall rules (ip inspect etc . . .). Ik heb daar al een opzetje voor. Gelukkig heb ik een ruime Feature Set erin zitten (c3620-jk8o3s-mz.122-19.bin).

Das ook niet zo ingewikkeld, de global tcp en udp zijn het belangerijkst hou er rekening mee dat de firewall feature set bestaat uit meerdere onderdelen waarvan de belangrijkste inspecting en auditing zijn.

ff vb
ip inspect max-incomplete high 3000
ip inspect max-incomplete low 2750
ip inspect one-minute high 2300
ip inspect name FW_OUT smtp alert on audit-trail on
ip inspect name FW_OUT tcp alert on audit-trail off
ip inspect name FW_OUT udp alert on audit-trail off
ip inspect name FW_IN ftp alert on audit-trail on
ip inspect name FW_IN icmp alert on audit-trail on
ip inspect name FW_IN fragment maximum 256 timeout 1
ip inspect name FW_IN tcp alert on audit-trail off
ip inspect name FW_IN udp alert on audit-trail off
ip audit poip audit name FW_IN info action alarm
ip audit name FW_IN attack action alarm drop reset max-events 100

en dan op je wan interface

ip inspect FW_IN in
ip inspect FW_OUT out
ip audit FW_IN in

maar hier kun je natuurlijk ruim mee spelen, je kunt ook je firewall vertellen dat je services op niet standaard poorten draait door b.v.

ip port-map ftp port 2121

wijst zich zelf dacht ik zo