---

Hej,

Hvorfor virker PAT-funktionaliteten ikke på IOS, når requestet kommer
"indefra" samme netværk som servicen står på?

Jeg har nu flere steder læst at sådan er det bare og i tele.internet.adsl
fået anbefalet at rette host-filer eller sætte alternative DNS-servere op
for at hakke udenom problemet - men det kan da ikke passe? (Problemet er
konkret at jeg fx ikke kan se de hjemmesider jeg selv hoster inde fra mit
eget netværk - domænerne resolver bare til routerens interne ip - og
routerens websetup-interface vises i stedet. Udefra er alt vel).

Jeg har bl.a. tilføjet følgende linie i min router-configuration (Cisco
806):

ip nat inside source static tcp 192.168.1.129 80 interface Dialer1 80

som "burde" være det der skal til, og den gør da også at tingene virker fint
set udefra det store internet. Men hvad mere skal der til for at det kommer
til at virke "indefra" også? (Det hjælper desværre heller ikke med no ip
http server el. lign - der må mangle et magic word et sted ..)

Glæder mig til at høre den forhåbentligt indlysende løsning

// Steffen

---

On Fri, 15 Mar 2002 00:02:41 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

> Hvorfor virker PAT-funktionaliteten ikke på IOS, når requestet kommer
> "indefra" samme netværk som servicen står på?

Hvad mener du?

> ip nat inside source static tcp 192.168.1.129 80 interface Dialer1 80

Ovenstående linie gør, at når der kommer trafik til dit Dialer-
interface's adresse på TCP-port 80, så sendes det videre til din
indersideadress 192.168.1.129, også på TCP-port 80.

Det er outside-in trafik, og det gør da præcis, hvad man (jeg).
forventer.

> Men hvad mere skal der til for at det kommer til at virke "indefra"
> også?

Jeg forstår ikke det spørgsmål. Hvad er det, du ønsker at opnå?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Steffen Poulsen" <steffenpoulsen@[RemoveThis]usa.net> wrote in message
news:3c91295a$0$92565$edfadb0f@dspool01.news.tele.dk...

> Hvorfor virker PAT-funktionaliteten ikke på IOS, når requestet kommer
> "indefra" samme netværk som servicen står på?

Uhm, det er vist ved at være sent, og talerækken kører - men den helt korte:

Jeg får ikke kontakt med min webserver når jeg skriver http://globalt_ip/ i
en browser på selve webserveren, selv om det virker fint andre steder fra i
verden - what to do?

// Steffen

---

On Fri, 15 Mar 2002 00:16:00 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

> Jeg får ikke kontakt med min webserver når jeg skriver http://globalt_ip/ i
> en browser på selve webserveren, selv om det virker fint andre steder fra i
> verden - what to do?

Det virker som designet. Det er ikke meningen, du skal kunne det.
Brug i stedet din inside-adresse.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:9bb29uc47nbag0u3fsevpuvqtg1j826kin@news.worldonline.dk...
> On Fri, 15 Mar 2002 00:16:00 +0100, "Steffen Poulsen"
> <steffenpoulsen@[RemoveThis]usa.net> wrote:

> Det virker som designet. Det er ikke meningen, du skal kunne det.
> Brug i stedet din inside-adresse.

Kan jeg hakke udenom for det er da godtnok irriterende, når jeg nu har været
vant til at det har virket på de andre konfigurationer jeg har haft stående,
inkluderende speedstream 5711, masq, og en helt alm. cisco 677 (cbos set nat
entry virkede uden problemer ..).

Jeg ville være lidt ked af at skulle til at køre DNS-service bare for at
kunne udvikle et par hjemmesider på min spand ..

// Steffen

---

On Fri, 15 Mar 2002 00:37:06 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

>> Brug i stedet din inside-adresse.

> Jeg ville være lidt ked af at skulle til at køre DNS-service bare for at
> kunne udvikle et par hjemmesider på min spand ..

Brug HOSTS.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:9tc29u0bgv6982p201g7d1ol5urdk9mp47@news.worldonline.dk...
> On Fri, 15 Mar 2002 00:37:06 +0100, "Steffen Poulsen"
> <steffenpoulsen@[RemoveThis]usa.net> wrote:

> Brug HOSTS.

XXXXXX(config)#hosts ?
% Unrecognized command



Bruger desværre rewrite url til at overføre sessions ml. sider på nogle af
hjemmesiderne - kan det også fixes med hosts?

Dvs. langt_id_der_skifter_for_hvert_klik.www.page.dk alle skal ramme
www.page.dk ip'et, funker over et "stjernealias" i dns'en - kan det
efterlignes med hosts? (både i win+nix).

Jeg ville godt nok hellere have at routeren kunne fixes - og det skal stadig
være på portniveau, for 80 og 443 ender ikke på samme server, så noget der
ligner ip nat inside source static <extern ip> <intern_ip> vil heller ikke
være nok ..

Jeg håber der er en go' idé mere

// Steffen

---

On Fri, 15 Mar 2002 08:14:54 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

>> Brug HOSTS.

> XXXXXX(config)#hosts ?

\winnt\system32\drivers\etc\hosts
/etc/hosts
(på pc'erne).

> Dvs. langt_id_der_skifter_for_hvert_klik.www.page.dk alle skal ramme
> www.page.dk ip'et, funker over et "stjernealias" i dns'en - kan det
> efterlignes med hosts? (både i win+nix).

Det tror jeg ikke.

> Jeg ville godt nok hellere have at routeren kunne fixes - og det skal stadig
> være på portniveau, for 80 og 443 ender ikke på samme server, så noget der
> ligner ip nat inside source static <extern ip> <intern_ip> vil heller ikke
> være nok ..

Hmm.

Det er muligt, man kan fuske noget single-interface NAT sammen
med et loopback, lidt policy-based routing og så'n. Eller måske
kan det fixes med noget outside source NAT.

Det ville også kunne fixes på en PIX (med 'alias').

-A

---

Asbjorn Hojmark wrote:

>>Dvs. langt_id_der_skifter_for_hvert_klik.www.page.dk alle skal ramme
>>www.page.dk ip'et, funker over et "stjernealias" i dns'en - kan det
>>efterlignes med hosts? (både i win+nix).
>>
>
> Det tror jeg ikke.


Prøv med at sjernealias til et CNAME, dette CNAME kan du nu registere i
din hosts fil.

---

"Christian E. Lysel" <chlyshoswmdatapunktumcom@example.net> wrote in message
news:3C92079A.8010309@example.net...

> Prøv med at sjernealias til et CNAME, dette CNAME kan du nu registere i
> din hosts fil.

Hmmm af et workaround at være lyder det slet ikke dumt, den er noteret.

(Men det går nu derhen ad, hvor routeren ryger ud igen, vil helst ikke lege
med to parallelle opslags-strukturer med deraf følgende muligheder for fejl
osv, når nu jeg ved hvor nemt og smertefrit det plejer at fungere på andet
end IOS)

// Steffen

---

Hej Steffen ...

Kik lige på: http://www.cisco.com/warp/public/556/12.html#3

Jeg har lige selv fået routeren i dag og oplevede selv samme problem
indenfor den første halve time ... har dog ikke fået det til at virke,
for jeg ved ikke hvordan man kommer til at skrive direkte i
konfigurationen ... men det er i hvert flad det her du leder efter :)

Hvis du får det til at virke, er du måske venlig lige at ligge en besked
om hvordan jeg får det makket !?

--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"

---

On Fri, 15 Mar 2002 02:02:13 GMT, "Farsinsen"
<Farsinsen.news@kandu.dk> wrote:

> http://www.cisco.com/warp/public/556/12.html#3

Det beskriver helt almindelig port forwarding, som Steffen har
kørende i forvejen.

-A

---

Så, fandt lige nogle "slides" - farver og striber er altid gode!

http://www.cisco.com/warp/public/794/827spat.html er setup'et - problemet
er:

http://171.68.1.1/ skrevet i browseren på PC 192.168.0.1 er helt dødt, selv
om det ifølge mig burde tune ind på den seje hjemmeside på Web Server
192.168.0.5.

Kom nu lige med de gode weekend-forslag, pllz

// Steffen

---

On Fri, 15 Mar 2002 13:57:56 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

> http://www.cisco.com/warp/public/794/827spat.html er setup'et
> - problemet er:
>
> http://171.68.1.1/ skrevet i browseren på PC 192.168.0.1 er
> helt dødt

Som sagt: Det virker som designet. Det er ikke meningen, du skal
kunne det.

-A

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:hjs39ug7uot533i59fqssl9v3m5jggjlkp@news.sunsite.dk...

> Som sagt: Det virker som designet. Det er ikke meningen, du skal
> kunne det.

Jeg synes det lyder helt hul i hovedet, at samtlige andre NAT-modeller jeg
har hørt om og brugt, understøtter det uden videre - til stor glæde for alle
en mini-nørd som mig der hoster services på "one-public-ip" - men IOS som er
top-of-the-line netop har designet uden om denne feature "on purpose".

Men hvis du dermed mener og insisterer på at der simpelthen ikke i IOS er en
mulighed for at få det til at virke vil jeg naturligvis tage konsekvensen og
snarest skille mig af med den.

// Steffen

---

On Fri, 15 Mar 2002 14:31:21 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

> Men hvis du dermed mener og insisterer på at der simpelthen ikke i IOS er en
> mulighed for at få det til at virke vil jeg naturligvis tage konsekvensen og
> snarest skille mig af med den.

Som jeg skrev, er det muligt, det kan fixes. Men den opførsel du
oplever på et standard-setup er altså normal.

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

He he ok ... godt at der er plads til nOOb kommentarer også!

Men altså hosts synes at væren en "løsning" for mig, eftersom alle jer
har plaget for en løsning ender med at foreslå dette!

Men er det muligt at lave * alias i hosts ?



--
Leveret af:
http://www.kandu.dk/
"Vejen til en hurtig løsning"

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:08i79ug0c3pg097e6i4qrgb7klgbqg075e@news.worldonline.dk...

> Som jeg skrev, er det muligt, det kan fixes. Men den opførsel du
> oplever på et standard-setup er altså normal.

OK, min hjerne har nu accepteret at det den ser på skærmen er routerens
nuværende config der virker efter hensigten . Men hvordan finder jeg ud
af om det (overhovedet) er muligt at ændre den config så den opfører sig keg
egentligt ønsker, uden at opbygge et expert-kendskab til IOS først?

Dét jeg tror jeg har brug for har jeg nu set omtalt som "NAT on a stick" og
"one-arm routing", men uden konkrete eksempler, de mindst luftige har jeg
pastet til slut.

Men hvis det skulle trigge et eller andet i en IOS-mands hoved, så sig meget
gerne til

// Steffen

1 ******************************************'

Below is a sample config we used for testing. Basically, we have an inside
address translating to multiple pool of addresses. The inside interface is
at
e0. E1 is connected to the outside, but ip nat outside command is
not applied at e1. It is applied at the loopback 4

For Internet access - translate to one pool
For Intranet access - don't translate
For traffic to SRC-1 - translate to 90.4.4.10 pool
For traffic to SRC-2 - translate to 90.2.2.10 pool

HTH
Eng Wee
CCIE #5335


interface Loopback4
ip address 7.7.7.7 255.255.255.255
ip nat outside
ip policy route-map TRANSLATE-SRC-IP
!

interface Ethernet0
ip address 10.1.1.1 255.255.255.0
ip nat inside
no keepalive
!
interface Ethernet1
ip address 172.24.6.174 255.255.255.252
!

ip nat pool SRC-2-NAT 90.2.2.10 90.2.2.50 netmask 255.255.255.0
ip nat pool SRC-1-NAT 90.4.4.10 90.4.4.50 netmask 255.255.255.0
ip nat pool INTERNET-NAT 61.8.245.125 61.8.245.126 netmask 255.255.255.248
ip nat inside source route-map INTERNET pool INTERNET-NAT overload
ip nat inside source route-map SRC-1 pool SRC-1-NAT
ip nat inside source route-map SRC-2 pool SRC-2-NAT

ip classless

ip route 0.0.0.0 0.0.0.0 Loopback4
ip route 10.2.2.0 255.255.255.0 Ethernet1
ip route 10.205.2.0 255.255.255.0 172.24.6.173
ip route 90.2.2.0 255.255.255.0 Loopback4 ### force return traffic
back to lo4
ip route 172.24.0.0 255.255.0.0 Ethernet1


ip access-list extended INTERNET-ACL
deny ip any 94.1.1.0 0.0.0.255
deny ip any 95.1.1.0 0.0.0.255
permit ip any any

ip access-list extended SRC-1-ACL
permit ip any 95.1.1.0 0.0.0.255
ip access-list extended SRC-2-ACL
permit ip any 94.1.1.0 0.0.0.255

route-map INTERNET permit 10
match ip address INTERNET-ACL
!
route-map TRANSLATE-SRC-IP permit 10
set ip default next-hop 172.24.6.173
!
route-map CONTROL-MAP permit 10
match ip address CONTROL-ACL
set interface Loopback4
!
route-map SRC-2 permit 10
match ip address SRC-2-ACL
!
route-map SRC-1 permit 10
match ip address SRC-1-ACL
!

2 ***************************************

interface Loopback1
ip address 172.16.2.10 255.255.255.0
no ip directed-broadcast
ip nat inside
ip policy route-map nat
!
interface Ethernet0
mac-address 0040.1c60.9337
ip address 172.16.1.10 255.255.255.0 secondary
ip address 66.200.150.4 255.255.255.0
no ip directed-broadcast
ip nat outside
!
ip nat inside source list 1 interface Ethernet0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Loopback1
!
access-list 1 permit 172.16.0.0 0.0.255.255
route-map nat permit 10
set ip next-hop 66.200.150.1
!

---

On Sun, 17 Mar 2002 18:01:15 +0100, "Steffen Poulsen"
<steffenpoulsen@[RemoveThis]usa.net> wrote:

> OK, min hjerne har nu accepteret at det den ser på skærmen er routerens
> nuværende config der virker efter hensigten . Men hvordan finder jeg
> ud af om det (overhovedet) er muligt at ændre den config så den opfører
> sig keg egentligt ønsker, uden at opbygge et expert-kendskab til IOS
> først?

Betaler en eller anden for at finde ud af det? Venter til en
eller anden får lyst og for meget tid og prøver, bare for at se,
om det kan lade sig gøre?

-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.org/networking/
FAQ : http://www.net-faq.dk/

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:t85a9us963hn8108i3v0u2uvbst509l752@news.worldonline.dk...

> Betaler en eller anden for at finde ud af det? Venter til en
> eller anden får lyst og for meget tid og prøver, bare for at se,
> om det kan lade sig gøre?

Nej, eftersom det er til mit eget hjemme-net er det eneste der generer mig
om jeg skal betale kr. 100,- om måneden for en router jeg er i tvivl om jeg
nogensinde bliver rigtig glad for ..

Men sideløbende er der også gået et par point i kassen der hedder "ICS via
XP" - det viser sig at den nye feature i XP'en, "Universal Plug and Play",
gør en i stand til at lægge flere messengers med voice/video/filetrans og
det hele ind bag gateway'en, og det har vist sig at være noget der giver et
par pluspoint hos den feminine del af husstanden, så måske det er der vi
ender.

// Steffen

---

> Nej, eftersom det er til mit eget hjemme-net er det eneste der generer mig
> om jeg skal betale kr. 100,- om måneden for en router jeg er i tvivl om
jeg
> nogensinde bliver rigtig glad for ..
>
> Men sideløbende er der også gået et par point i kassen der hedder "ICS via
> XP" - det viser sig at den nye feature i XP'en, "Universal Plug and Play",
> gør en i stand til at lægge flere messengers med voice/video/filetrans og
> det hele ind bag gateway'en, og det har vist sig at være noget der giver
et
> par pluspoint hos den feminine del af husstanden, så måske det er der vi
> ender.
>
> // Steffen

8<-------------

Jeg sidder med samme problem, og hvis det kan trøste dig virker det heller
ikke med min Eicon Safepipe 50. Det virkede med en SpeedStream 5711 men ikke
med SpeedStream 5781. Jeg har efterhånden vænnet mig til at bruge min VPN
klient til firmaet, for derefter at tilgå min webserver, men noget videre
holdbar løsning er det jo ikke.

Mvh Jakob Kvistgaard, CCNA

---

"Jakob K. Nielsen" <jakob@geforce.dk> wrote in message
news:3c9668a8$0$18474$edfadb0f@dspool01.news.tele.dk...

> Jeg sidder med samme problem, og hvis det kan trøste dig virker det heller
> ikke med min Eicon Safepipe 50. Det virkede med en SpeedStream 5711 men
ikke
> med SpeedStream 5781. Jeg har efterhånden vænnet mig til at bruge min VPN
> klient til firmaet, for derefter at tilgå min webserver, men noget videre
> holdbar løsning er det jo ikke.

Trøstende ord modtages altid med tak - selv om min router synes nok så
upåvirket

// Steffen