2 Internetzugänge am 836 (NAT-Problem?)

[Sternenkind]

Da zu lang wir der 2. Teil in eine Antwort gesetzt
unübliches Problem:

Internetverbindung über DSL ins Internet für alles ausser:
ISDN Wählverbindung ins Internet an die T-Online Mailserver -> Soweit kein Problem aber:

Eth0 ist ip nat inside
bri0 ist ip nat outside
und
dialer1 (DSL) ist ip nat outside


Mit ip nat inside source list 102 interface Dialer1 overload

Geht die DSL Verbindung, mit
ip nat inside source list 104 interface bri0 overload
der POP3 zugang zu T-Online, aber:

ip nat inside source list 102 interface Dialer1 overload
ip nat inside source list 104 interface bri0 overload

fürht nicht dazu, dass beides geht



ZU HÜÜÜÜLLLF!


Anbei meine Config

!
version 12.3
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname shandy
!
boot-start-marker
boot-end-marker
!
memory-size iomem 5
no logging buffered
enable secret xxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
ip subnet-zero
!
!
ip dhcp excluded-address 192.168.1.1
!
!
ip domain name IT-Blankensee.de
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip ips po max-events 100
ip ssh version 2
no ftp-server write-enable
isdn switch-type basic-net3
!
!
username hauke password xxxxxxxxxxxxxxxxxxx
!
!
no crypto isakmp ccm
!
!
!
interface Ethernet0
description CRWS Generated text. Please do not delete this:192.168.1.1-255.255.255.0
ip address 192.168.1.1 255.255.255.0
ip mtu 1456
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface BRI0
description connected to T-Online
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw in
ip virtual-reassembly
encapsulation ppp
dialer string 0191011
dialer hold-queue 10
dialer-group 2
isdn switch-type basic-net3
isdn answer1 4982860
no cdp enable
ppp authentication pap callin
ppp pap sent-username xxxxxxxxxxxx password xxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request

[Sternenkind]

!
interface ATM0
no ip address
load-interval 30
atm vc-per-vp 64
no atm ilmi-keepalive
dsl operating-mode auto
pvc 1/32
encapsulation aal5snap
pppoe-client dial-pool-number 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed 10
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw in
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname xxxxxxxxxxxxxxxxxxxxxxx
ppp chap password xxxxxxxxxxxxxxxxxxxxxxx
ppp ipcp dns request
ppp ipcp wins request
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 194.25.134.0 255.255.255.0 BRI0
!
ip http server
no ip http secure-server
!
ip nat inside source list 102 interface Dialer1 overload
!
logging 192.168.1.2
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 103 permit tcp any any eq pop3
access-list 103 permit tcp any any eq smtp
access-list 104 permit ip 192.168.1.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit tcp any any established
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip list 103
!
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
exec-timeout 120 0
login local
length 0
transport input ssh
!
scheduler max-task-time 5000
no rcapi server
!
end


2. Frage: Wie sichere ich meinen Flash?
Ohne Cisco Account bekomme ich doch nie wieder ein laufendes IOS falls ich mal was falsch mache!?
end

[Hr_Rossi]

hi

also rein logisch, müsstest du hier mit logischen dialern arbeiten ..

bsp: dialer 1 stellt verbindung mit dsl her un ist default-gateway
dialer 2 ist die isdn leitung welche zum mailserver geht 1

unterscheiden tust du zwischen den beiden dann mit statischen routen !

wäre dies eine lösung !ß

lg
rossi

[Sternenkind]

Hätte vielleicht sagen sollen, dass ich Änfänger bin

>bsp: dialer 1 stellt verbindung mit dsl her un ist default-gateway
>dialer 2 ist die isdn leitung welche zum mailserver geht 1

dialer 1 stellt verbindung mit dsl her un ist default-gateway
macht er ja

>dialer 2 ist die isdn leitung welche zum mailserver geht 1
Ist der Dialer2 wirklich so wichtig?
Ich meine, in BRI0 steht der drinnen und wählt ISDN an wenn ich Senden und Empfangen klicke und trennt nach inaktivität; was kann der Dialer denn da mehr?


>unterscheiden tust du zwischen den beiden dann mit statischen routen !
Tue ich das nicht hier?
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 194.25.134.0 255.255.255.0 BRI0



Das Problem ist halt, dass entweder das eine oder das andere an den PC vermittelt wird je nachdem ob ich in
ip nat inside source list 102 interface Dialer1 overload

Dialer1 oder BRI0 einsetze und beide eintragen geht nicht

[tom12]

hi,

versuch mal etwas anderes:

dialer-list 1 protocol ip list 110
dialer-list 2 protocol ip list 103

access-list 110 deny ip any any eq 25
access-list 110 permit ip any any

access-list 103 permit tcp any any eq 25

int dialer 1
dialer-group 1

int bri0
dialer-group 2


falls es noch nicht klappt auch dies:

access-list 102 deny tcp 192.168.1.0 0.0.0.255 any eq 25
access-list 102 permit ip 192.168.1.0 0.0.0.255 any

access-list 104 permit tcp 192.168.1.0 0.0.0.255 any eq 25

ip nat inside source list 102 interface Dialer1 overload
ip nat inside source list 104 interface bri0 overload



Grüsse
Thomas

[Sternenkind]

Hilft leider auch nicht, da E-Mail Konten bei allen anderen Anbietern außer T-Online über die DSL laufen sollen...

Es klappt ja auch, dass er anwählt sobald senden und Empfangen am T-Online-Mail PC geklickt wird, insofern will ich meine Anwahlregeln nicht verdrehen und die DSL Verbindung darf auch nicht während der ISDN Verbindung getrennt werden, sonndern muss dauerhaft bestehen

Mein Problem sollte wirklich genau hier liegen:
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source list 104 interface bri0 overload

Beides macht er nicht; jedes für sich geht, wenn ich einen 2. Router benutze und statt
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 194.25.134.0 255.255.255.0 BRI0


ip route 0.0.0.0 0.0.0.0 192.168.1.254
ip route 194.25.134.0 255.255.255.0 BRI0

benutze geht auch alles wie es soll

[tom12]

Hilft leider auch nicht, da E-Mail Konten bei allen anderen Anbietern außer T-Online über die DSL laufen sollen...

...dann gibst du in den Access-listen nicht "...any eq 25" an, sondern die IP von T-On line mailserver..

Sollte eigentlich klappen.

Ansonsten versuchs mit Route-maps.

Grüsse

[Sternenkind]

...Was aber gar nicht nötig ist, da die Accesslist ihm nur verbieten würde, vom DSL aus an den T-Online-Server zu gehen, was er auch so nciht will, da er die Route über ISDN benutzt


Wenn ich vom Cisco aus nach T-Online spreche läuft alles über ISDN und alles andere über DSL; es kommt nur nicht beim fragenden PC an

Routemaps hab ich überhaupt keinen Schimmer von... was ist das?

Ich geh einfach mal davon aus *korrigiere mich*, dass es nicht 1 nat inside und 2 nat outside geben darf?
Jedenfalls geht immer das von beiden für das ich nat blablabla interface !!!!!!! overload angebe, jedoch nie wenn ich beide angebe
Weiß aber auch keine andere Lösung

[n@ppo]

hi,

das funktioniert nur mit route-maps, da bei einem pat basierend auf source-lists mit zwei outside interfaces immer das interface genutzt wird über das, das erste paket drübergeht.
sprich, wenn der dsl-dialer " up" ist und im nat-table einträge auf dieses interface zeigen, geht kein paket durch das zweite dialer-interface bzw. das zweite outside interface.
die wahl über welches outside interface das paket läuft wird entweder durch eine weitere route-map inkl. policy-routing am ethernet (inside) interface erledigt oder bei vereinfachten anforderungen über den routingtable.


#
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source route-map dial interface Dialer1 overload
ip nat inside source route-map bri interface Bri0 overload
!
route-map dial permit
match ip address 1
!
route-map bri permit
match ip address 1
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 194.25.134.0 255.255.255.0 BRI0
#

[Sternenkind]

Noch nicht getestet, mach ich aber gleich, das sieht sehr nützlich aus!

Was bedeutet hier
route-map dial permit
match ip address 1
!
route-map bri permit
match ip address 1