michi5612 10 Geschrieben 7. März 2009 Melden Teilen Geschrieben 7. März 2009 Morgen! Ich habe ein Problem mit einem C2800, der Router ist gleichzeitig der Default-GW des Netzes und stellt auch einen SSLVPN-Zugang bereit. Nun habe ich auf diesem Router eine Portweiterleitung eingerichtet, was extern auch ganz prima klappt. Nur soll es so sein, dass man auch aus dem LAN diesen Port ueber die externe IP ansprechen kann. Das heißt, Benutzer im LAN tippt 1.2.3.4:502 ein, was der externen IP und dem Port entspricht, und kann damit ebenfalls auf den Dienst zugreifen. Warum das genau so gehen soll hab ich nicht so ganz verstanden, unsere Entwickler wollen das aber genau so und nicht anders. Daher: Geht das? Und wenn ja, wie? Zweites Problem, seit ich die Weiterleitung eingerichtet habe funktioniert der SSLVPN-Zugang nicht mehr. Selbiger ist ganz standardmäßig eingerichtet, Port 443 und redirect von Port 80. Das ganze endet aber jetzt bei einem Timeout. Hier mal der relevante Teil der Config: (sieht schon etwas verbastelt aus ;)) ! interface FastEthernet0/1 description Link zum Provider ip address *ExtIP 255.255.255.248 ip access-group 101 in ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! ip nat inside source list 101 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.123.7 80 interface FastEthernet0/1 8080 ip nat inside source static tcp 192.168.123.7 502 *ExtIP 502 extendable ! ip access-list extended noaccess permit ip any host *ExtIP deny tcp any host *ExtIP eq telnet deny icmp any host *ExtIP echo permit ip any any ! access-list 101 permit tcp any eq 8080 any eq 8080 access-list 101 permit tcp any eq www any eq www access-list 101 permit ip any host *ExtIP access-list 101 permit ip any any access-list 101 permit tcp any any eq 502 access-list 101 permit udp any any eq 502 Zitieren Link zu diesem Kommentar
smaportal 10 Geschrieben 18. März 2009 Melden Teilen Geschrieben 18. März 2009 hallo,... also wenn ich dich richtig verstanden habe, sitzt du hinter dem 2800 router, und versuchst über die offizielle ip adresse des 2800er routers auf die dienste im lokalen lan zu zugreifen!? ist das richtig? also von intern auf die externe ip wieder ins interne lan?! stimmt das? wenn das so stimmt,.... dann wir dir der router hier einen strich durch die rechnung machen,... da du vom lan interface also vom internen netzwerk keine verbindung zum outside interface aufbauen kannst! Zitieren Link zu diesem Kommentar
collapse 10 Geschrieben 24. März 2009 Melden Teilen Geschrieben 24. März 2009 Morgen! Ich habe ein Problem mit einem C2800, der Router ist gleichzeitig der Default-GW des Netzes und stellt auch einen SSLVPN-Zugang bereit. Nun habe ich auf diesem Router eine Portweiterleitung eingerichtet, was extern auch ganz prima klappt. Nur soll es so sein, dass man auch aus dem LAN diesen Port ueber die externe IP ansprechen kann. Das heißt, Benutzer im LAN tippt 1.2.3.4:502 ein, was der externen IP und dem Port entspricht, und kann damit ebenfalls auf den Dienst zugreifen. Warum das genau so gehen soll hab ich nicht so ganz verstanden, unsere Entwickler wollen das aber genau so und nicht anders. Daher: Geht das? Und wenn ja, wie? Zweites Problem, seit ich die Weiterleitung eingerichtet habe funktioniert der SSLVPN-Zugang nicht mehr. Selbiger ist ganz standardmäßig eingerichtet, Port 443 und redirect von Port 80. Das ganze endet aber jetzt bei einem Timeout. Hier mal der relevante Teil der Config: (sieht schon etwas verbastelt aus ;)) ! interface FastEthernet0/1 description Link zum Provider ip address *ExtIP 255.255.255.248 ip access-group 101 in ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! ip nat inside source list 101 interface FastEthernet0/1 overload ip nat inside source static tcp 192.168.123.7 80 interface FastEthernet0/1 8080 ip nat inside source static tcp 192.168.123.7 502 *ExtIP 502 extendable ! ip access-list extended noaccess permit ip any host *ExtIP deny tcp any host *ExtIP eq telnet deny icmp any host *ExtIP echo permit ip any any ! access-list 101 permit tcp any eq 8080 any eq 8080 access-list 101 permit tcp any eq www any eq www access-list 101 permit ip any host *ExtIP access-list 101 permit ip any any access-list 101 permit tcp any any eq 502 access-list 101 permit udp any any eq 502 Schau dir Bitte nochmals an wie man ACLS baut. Man hat immer eine Ziel Addresse z.b. 8080 und einen Port der Variabel ist. Jener wird random generiert normalerweise 1024< port > 65536twww access-list 101 permit tcp source destination eq port da diese ACL auf IN steht heists wenn ein Packet ankommt welches im Source beliebige Internet ip hat muss jene einen Variabilen Port haben auser du Fixierst es auf der anderen Seite (wird selten Angewandt) und gibst als Zieladdresse deine Provider IP an. access-list 101 permit tcp any deineInetIP eq 8080 access-list 101 permit tcp any deineInetIP eq www fur das Problem mit der gleichen IP Addresse innen wie ausen kann man ein NAT Bauen welches dir im inneren die destination abaendert von Internet ip 8080 auf lokalip 80 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.