---

Hej.

Jeg har en Cisco 677 router (og en Tiscali opkobling) og overvejer at købe
en D-Link 604 firewall/router.
D-Link'en kan jo desværre ikke umiddelbart erstatte Cisco'en (Cisco har RJ11
stik imod WAN mens D-Link har RJ12), men alligevel vil jeg gerne have den
D-Link, da jeg synes det er en god/nem ekstra sikkerhed til en forholdsvis
rimelig pris.

Men.. dét jeg gerne vil er, at åbne ALT i Cisco'en og forwarde det hele til
et givent internt IP nummer (det skal så være til D-Link'en som så kan
portwarde eller tillade videre) - hvordan gør jeg rent praktisk dét? Mit
netværk vil så
komme til at se således ud:

INET --> Cisco --> DLink --> Lokal net

Cisco WAN = public IP nummer
Cisco LAN = 192.168.0.1 / 255.255.255.248
D-Link WAN = 192.168.0.2 / 255.255.255.248
D-Link LAN = 192.168.1.1 / 255.255.255.0

Og skal det rent faktisk portforwardes videre eller skal det blot åbnes
igennem D-Link'en?

Mvh.
Søren

---

> Men.. dét jeg gerne vil er, at åbne ALT i Cisco'en og forwarde det hele
> til et givent internt IP nummer (det skal så være til D-Link'en som så kan
> portwarde eller tillade videre) - hvordan gør jeg rent praktisk dét? Mit
> netværk vil så
> komme til at se således ud:
>
> INET --> Cisco --> DLink --> Lokal net
>
> Cisco WAN = public IP nummer
> Cisco LAN = 192.168.0.1 / 255.255.255.248
> D-Link WAN = 192.168.0.2 / 255.255.255.248
> D-Link LAN = 192.168.1.1 / 255.255.255.0
>
> Og skal det rent faktisk portforwardes videre eller skal det blot åbnes
> igennem D-Link'en?

Du kan starte med at slå NAT fra i cisco'en. Det gøres med kommandoen

#> set nat disable

i enabled-mode

Dernæst sætter du en route fra din wan-ip, til D-Link's ip. Desuden skal
routeren sættes som "default route" i D-Link. Dette burde være nok, men jeg
tager forbehold for fejl og misforståelser

M.V.H,
Christian Iversen

---

On Mon, 20 Jan 2003 23:35:04 +0100, Christian Iversen
<iversen@it.dk> wrote:

> Du kan starte med at slå NAT fra i cisco'en.

Det vil ikke virke. Hvis Søren som skitseret kører med private
address space mellem de to routere, vil trafikken aldrig nå hen
til den inderste router.

-A

---

>> Du kan starte med at slå NAT fra i cisco'en.
>
> Det vil ikke virke. Hvis Søren som skitseret kører med private
> address space mellem de to routere, vil trafikken aldrig nå hen
> til den inderste router.

Hov - det overså jeg :)

Men så kunne du (Søren) sætte Cisco'en på et andet internt netværk, fx
10.0.0.0

Det burde virke (så vidt jeg kan se)

M.V.H,
Christian Iversen

---

On Tue, 21 Jan 2003 13:30:37 +0100, Christian Iversen
<iversen@it.dk> wrote:

>>> Du kan starte med at slå NAT fra i cisco'en.

>> Det vil ikke virke. Hvis Søren som skitseret kører med private
>> address space mellem de to routere, vil trafikken aldrig nå hen
>> til den inderste router.

> Men så kunne du (Søren) sætte Cisco'en på et andet internt netværk,
> fx 10.0.0.0

Nej. Internet-udbyderen vil stadig ikke route til 10.0.0.0 i
retning mod Sørens eksterne (WAN) adresse, så det vil stadig ikke
nå derhen.

Der skal 2xNAT til (men hvorfor skulle man?), eller kun NAT på
den yderste router og blot routing på den inderste router (men
hvad har man så opnået ved at sætte den inderste router på).

-A

---

On Mon, 20 Jan 2003 20:42:39 +0100, "Søren" <ghost@nowheres.com>
wrote:

> Jeg har en Cisco 677 router (og en Tiscali opkobling) og overvejer
> at købe en D-Link 604 firewall/router.
> D-Link'en kan jo desværre ikke umiddelbart erstatte Cisco'en (Cisco
> har RJ11 stik imod WAN mens D-Link har RJ12), men alligevel vil jeg
> gerne have den D-Link, da jeg synes det er en god/nem ekstra sikker-
> hed til en forholdsvis rimelig pris.

Jeg kan ikke se, den ekstra router vil tilføje nogen ekstra sik-
kerhed i det setup du skitserer. Hvordan synes du, den vil gøre
det?

> Men.. dét jeg gerne vil er, at åbne ALT i Cisco'en og forwarde det
> hele til et givent internt IP nummer (det skal så være til D-Link'en
> som så kan portwarde eller tillade videre) - hvordan gør jeg rent
> praktisk dét?

Jeg mener ikke, der er sådan en 'forward alt' kommando, men du
kan da forwarde alt TCP og UDP som følger:

set nat entry add <inside-ip> 1-65535 <outside-ip> 1-65535 tcp
set nat entry add <inside-ip> 1-65535 <outside-ip> 1-65535 udp

> INET --> Cisco --> DLink --> Lokal net
>
> Cisco WAN = public IP nummer
> Cisco LAN = 192.168.0.1 / 255.255.255.248
> D-Link WAN = 192.168.0.2 / 255.255.255.248
> D-Link LAN = 192.168.1.1 / 255.255.255.0
>
> Og skal det rent faktisk portforwardes videre eller skal det blot åbnes
> igennem D-Link'en?

Du kan godt konfigurere 677'eren til at route trafik til
192.168.1.0/24 via den anden router, og så undlade at køre NAT,
forwards eller filtre der. Men da du forwarder (næsten) alt i
677'eren vil du så opnå en *lavere* sikkerhed end du havde med
677'eren alene.

-A

---

"Søren" <ghost@nowheres.com> crashed Echelon writing
news:YiYW9.41126$Hl6.4916308@news010.worldonline.dk:

> Jeg har en Cisco 677 router (og en Tiscali opkobling) og overvejer at
> købe en D-Link 604 firewall/router.
> D-Link'en kan jo desværre ikke umiddelbart erstatte Cisco'en (Cisco
> har RJ11 stik imod WAN mens D-Link har RJ12), men alligevel vil jeg
> gerne have den D-Link, da jeg synes det er en god/nem ekstra sikkerhed
> til en forholdsvis rimelig pris.

Jeg ville undersøge hvad firewall er i den D-604!

Mange firewalls (både software og hardware) er blot teknologi som lægger
sig op af NAT, ved at have mulighed for styring af hvilke porte som er åbne
og lukket.

Uden at kende D-604'eren, så syntes jeg du skal være opmærksom om den
tryghed du ønsker ikke kan opfyldes ved at lukke alle porte og kun åbne dem
du har brug for i Cisco'en.

> Men.. dét jeg gerne vil er, at åbne ALT i Cisco'en og forwarde det
> hele til et givent internt IP nummer (det skal så være til D-Link'en
> som så kan portwarde eller tillade videre) - hvordan gør jeg rent
> praktisk dét?

Dobbelt NAT.

NAT af alle port i Cisco'en til D-linken og så NAT herfra til de respektive
maskiner.


--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address

---

> > Jeg har en Cisco 677 router (og en Tiscali opkobling) og overvejer at
> > købe en D-Link 604 firewall/router.
> > D-Link'en kan jo desværre ikke umiddelbart erstatte Cisco'en (Cisco
> > har RJ11 stik imod WAN mens D-Link har RJ12), men alligevel vil jeg
> > gerne have den D-Link, da jeg synes det er en god/nem ekstra sikkerhed
> > til en forholdsvis rimelig pris.
>
> Jeg ville undersøge hvad firewall er i den D-604!

Det er jo lidt lige så meget det jeg ligger op til Jeg kender den ikke
ud over at jeg har set den opsat.

> Uden at kende D-604'eren, så syntes jeg du skal være opmærksom om den
> tryghed du ønsker ikke kan opfyldes ved at lukke alle porte og kun åbne
dem
> du har brug for i Cisco'en.

Det kunne jeg sikkert sagtens (ingen tvivl om dét), men interfacet er
nemmere på D-Link og jeg kan bruge den på andre netværk også.

> > Men.. dét jeg gerne vil er, at åbne ALT i Cisco'en og forwarde det
> > hele til et givent internt IP nummer (det skal så være til D-Link'en
> > som så kan portwarde eller tillade videre) - hvordan gør jeg rent
> > praktisk dét?
>
> Dobbelt NAT.
>
> NAT af alle port i Cisco'en til D-linken og så NAT herfra til de
respektive
> maskiner.

Tja... jeg er ikke sikker på, at den køre dobbelt NAT men jeg er ikke
sikker.

Søren.

---

"Søren" <nowhere@nonexisistent.com> crashed Echelon writing
news:3e2d4847$0$83842$edfadb0f@dtext01.news.tele.dk:

> Det er jo lidt lige så meget det jeg ligger op til Jeg kender den
> ikke ud over at jeg har set den opsat.

Tja, kiggede lige inde på deres hjemmeside og det er NAT firewall, altså
nøjagtig samme beskyttelse som Cisco677 kan tilbyde dig.

> Det kunne jeg sikkert sagtens (ingen tvivl om dét), men interfacet er
> nemmere på D-Link og jeg kan bruge den på andre netværk også.

Skal du bruge D-linken på andre netværk end det du har nu? Og måske kan den
heller ikke bruges på din næste ADSL opkobling.

Cbos kommandoer er måske ikke lige det sjoveste for nybegyndere, men de
fleste ISP'er (Tiscali og CyberCity) har nogle udemærkede guider til
hvordan man gør. Og når man først forstår det bliver det nemt i længden.

Ellers findes der vidst (bemærk udsikkerheden) også Webinterface til
Cisco677, det er bare deaktiveret som std.

> Tja... jeg er ikke sikker på, at den køre dobbelt NAT men jeg er ikke
> sikker.

Enten skal du bridge den offentlige IP igennem Cisco'en til D-linken, dette
vil kræve flere offentlige IP-adresser (én til ydersiden og én til
inderside af Cisco677'eren), som du så er nødt til at købe af Tiscali
(hvilket jeg ikke regner med du har gjort idag).

Ellers er du nødt til at sørge for Cisco677 NAT'er al trafik videre til D-
linken (har alle porte åbne mod den IP D-linken nu har).

Igen skal D-linken så have NAT'et (åbne porte) mod de computere du har på
netværket.

Sammenlagt giver det 2xNAT, hvilket sagtens kan lade sig gøre, men også
give noget gris.

--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address