Zum Inhalt wechseln


Foto

Port forwarding

Erstellt von michi5612 , 07. Mär 2009 09:22

  • Bitte melde dich an um zu Antworten
2 Antworten in diesem Thema

#1 michi5612

michi5612

    Newbie

  • 1 Beiträge

Geschrieben 07. März 2009 - 09:22

Morgen!

Ich habe ein Problem mit einem C2800, der Router ist gleichzeitig der Default-GW des Netzes und stellt auch einen SSLVPN-Zugang bereit.

Nun habe ich auf diesem Router eine Portweiterleitung eingerichtet, was extern auch ganz prima klappt. Nur soll es so sein, dass man auch aus dem LAN diesen Port ueber die externe IP ansprechen kann. Das heißt, Benutzer im LAN tippt 1.2.3.4:502 ein, was der externen IP und dem Port entspricht, und kann damit ebenfalls auf den Dienst zugreifen.
Warum das genau so gehen soll hab ich nicht so ganz verstanden, unsere Entwickler wollen das aber genau so und nicht anders.

Daher: Geht das? Und wenn ja, wie?

Zweites Problem, seit ich die Weiterleitung eingerichtet habe funktioniert der SSLVPN-Zugang nicht mehr. Selbiger ist ganz standardmäßig eingerichtet, Port 443 und redirect von Port 80. Das ganze endet aber jetzt bei einem Timeout.

Hier mal der relevante Teil der Config: (sieht schon etwas verbastelt aus ;))
!
interface FastEthernet0/1
description Link zum Provider
ip address *ExtIP 255.255.255.248
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
ip nat inside source list 101 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.123.7 80 interface FastEthernet0/1 8080
ip nat inside source static tcp 192.168.123.7 502 *ExtIP 502 extendable
!
ip access-list extended noaccess
permit ip any host *ExtIP
deny tcp any host *ExtIP eq telnet
deny icmp any host *ExtIP echo
permit ip any any
!
access-list 101 permit tcp any eq 8080 any eq 8080
access-list 101 permit tcp any eq www any eq www
access-list 101 permit ip any host *ExtIP
access-list 101 permit ip any any
access-list 101 permit tcp any any eq 502
access-list 101 permit udp any any eq 502

#2 smaportal

smaportal

    Member

  • 214 Beiträge

Geschrieben 18. März 2009 - 12:29

hallo,...

also wenn ich dich richtig verstanden habe, sitzt du hinter dem 2800 router, und versuchst über die offizielle ip adresse des 2800er routers auf die dienste im lokalen lan zu zugreifen!? ist das richtig?

also von intern auf die externe ip wieder ins interne lan?!
stimmt das?
wenn das so stimmt,....

dann wir dir der router hier einen strich durch die rechnung machen,... da du vom lan interface also vom internen netzwerk keine verbindung zum outside interface aufbauen kannst!

#3 collapse

collapse

    Member

  • 158 Beiträge

Geschrieben 24. März 2009 - 23:05

Morgen!

Ich habe ein Problem mit einem C2800, der Router ist gleichzeitig der Default-GW des Netzes und stellt auch einen SSLVPN-Zugang bereit.

Nun habe ich auf diesem Router eine Portweiterleitung eingerichtet, was extern auch ganz prima klappt. Nur soll es so sein, dass man auch aus dem LAN diesen Port ueber die externe IP ansprechen kann. Das heißt, Benutzer im LAN tippt 1.2.3.4:502 ein, was der externen IP und dem Port entspricht, und kann damit ebenfalls auf den Dienst zugreifen.
Warum das genau so gehen soll hab ich nicht so ganz verstanden, unsere Entwickler wollen das aber genau so und nicht anders.

Daher: Geht das? Und wenn ja, wie?

Zweites Problem, seit ich die Weiterleitung eingerichtet habe funktioniert der SSLVPN-Zugang nicht mehr. Selbiger ist ganz standardmäßig eingerichtet, Port 443 und redirect von Port 80. Das ganze endet aber jetzt bei einem Timeout.

Hier mal der relevante Teil der Config: (sieht schon etwas verbastelt aus ;))
!
interface FastEthernet0/1
description Link zum Provider
ip address *ExtIP 255.255.255.248
ip access-group 101 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
ip nat inside source list 101 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.123.7 80 interface FastEthernet0/1 8080
ip nat inside source static tcp 192.168.123.7 502 *ExtIP 502 extendable
!
ip access-list extended noaccess
permit ip any host *ExtIP
deny tcp any host *ExtIP eq telnet
deny icmp any host *ExtIP echo
permit ip any any
!
access-list 101 permit tcp any eq 8080 any eq 8080
access-list 101 permit tcp any eq www any eq www
access-list 101 permit ip any host *ExtIP
access-list 101 permit ip any any
access-list 101 permit tcp any any eq 502
access-list 101 permit udp any any eq 502


Schau dir Bitte nochmals an wie man ACLS baut.

Man hat immer eine Ziel Addresse z.b. 8080 und einen Port der Variabel ist. Jener wird random generiert normalerweise 1024< port > 65536twww


access-list 101 permit tcp source destination eq port
da diese ACL auf IN steht heists wenn ein Packet ankommt welches im Source beliebige Internet ip hat muss jene einen Variabilen Port haben auser du Fixierst es auf der anderen Seite (wird selten Angewandt) und gibst als Zieladdresse deine Provider IP an.

access-list 101 permit tcp any deineInetIP eq 8080
access-list 101 permit tcp any deineInetIP eq www


fur das Problem mit der gleichen IP Addresse innen wie ausen kann man ein NAT Bauen welches dir im inneren die destination abaendert von Internet ip 8080 auf lokalip 80
Zurück zu Cisco Forum — Allgemein


  1. MCSEboard.de
  2. MCSE Forum & Cisco Forum
  3. Cisco Forum — Allgemein
  4. Privacy Policy
  5. Impressum ·