|
| Cisco 677 og 1 til 1 NAT Fra : Kristian Krautwald |
Dato : 10-11-01 10:30 |
|
Hej Alle!
Hvordan får man Cisco 677 til at benytte NAT 1 til 1 begge veje? Men
andre ord, vil jeg have at al trafik der kommer fra outside, bliver
nat'te ind på en private IP. Og det samme med trafik fra inside til
outside. Ikke noget med port-nat.
Mange tak for hjælpen!
--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk
| |
Alex Striker (10-11-2001)
| Kommentar Fra : Alex Striker |
Dato : 10-11-01 10:42 |
|
Hej Kristian
prøv
log in på routeren i enable mode og sætte ind:
set nat entry add <intern ip> 0-65535 0.0.0.0 tcp
set nat entry add <intern ip> 0-65535 0.0.0.0 udp
write
reboot
Mvh Alex Striker
--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk
"Kristian Krautwald" <kristian@krautwald.dk> skrev i en meddelelse
news:sgsput05lbnp4gr9ifhmgg8c7jh35ebgin@4ax.com...
> Hej Alle!
>
> Hvordan får man Cisco 677 til at benytte NAT 1 til 1 begge veje? Men
> andre ord, vil jeg have at al trafik der kommer fra outside, bliver
> nat'te ind på en private IP. Og det samme med trafik fra inside til
> outside. Ikke noget med port-nat.
>
> Mange tak for hjælpen!
>
> --
> Med venlig hilsen
> Kristian Krautwald <kristian@krautwald.dk>
> http://www.krautwald.dk
| |
Kristian Krautwald (10-11-2001)
| Kommentar Fra : Kristian Krautwald |
Dato : 10-11-01 10:49 |
|
In newsgroup dk.edb.netvaerk wrote, Alex Striker, this, the Sat, 10 Nov
2001 10:41:34 +0100:
Hello Alex Striker,
>set nat entry add <intern ip> 0-65535 0.0.0.0 tcp
>set nat entry add <intern ip> 0-65535 0.0.0.0 udp
Tak! Men er dette ikke kun fra outside til inside? Hvad med fra inside
til outside?
--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk
| |
Alex Striker (10-11-2001)
| Kommentar Fra : Alex Striker |
Dato : 10-11-01 10:53 |
|
Hej Kristian
"Kristian Krautwald" <kristian@krautwald.dk> skrev i en meddelelse
news:9ttput0p8lk6076ijp3pufgk250q4l57hu@4ax.com...
> In newsgroup dk.edb.netvaerk wrote, Alex Striker, this, the Sat, 10 Nov
> 2001 10:41:34 +0100:
>
> Hello Alex Striker,
>
> >set nat entry add <intern ip> 0-65535 0.0.0.0 tcp
> >set nat entry add <intern ip> 0-65535 0.0.0.0 udp
>
> Tak! Men er dette ikke kun fra outside til inside? Hvad med fra inside
> til outside?
og hvad tror du UDP bliver brugt til ?
det skal lige siges at total port forwardning kun virker fra cbos ver. 2.4.1
Mvh Alex Striker
--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk
| |
Kristian Krautwald (10-11-2001)
| Kommentar Fra : Kristian Krautwald |
Dato : 10-11-01 11:00 |
|
In newsgroup dk.edb.netvaerk wrote, Alex Striker, this, the Sat, 10 Nov
2001 10:52:56 +0100:
Hello Alex Striker,
>og hvad tror du UDP bliver brugt til ?
Det forstår jeg simpelthen ikke hvad du mener med det? Hvorfor skulle
det være anderledes end med tcp? UDP encap?
--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk
| |
Alex Striker (10-11-2001)
| Kommentar Fra : Alex Striker |
Dato : 10-11-01 11:05 |
|
> >og hvad tror du UDP bliver brugt til ?
>
> Det forstår jeg simpelthen ikke hvad du mener med det? Hvorfor skulle
> det være anderledes end med tcp? UDP encap?
jo altså med tcp/udp protokollerene + forward af alle port
er alt jo åben og ingen sikkerhed i det nu , så du må ha en firewall eller noget.
det der går fra din(e) putere og ud bliver jo til dynamisk nat entries
Mvh Alex Striker
--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk
| |
Kristian Krautwald (10-11-2001)
| Kommentar Fra : Kristian Krautwald |
Dato : 10-11-01 13:23 |
|
On Sat, 10 Nov 2001 11:05:13 +0100, "Alex Striker"
<striker@nospamanarki.dk> wrote:
Hej Alex
>jo altså med tcp/udp protokollerene + forward af alle port
>er alt jo åben og ingen sikkerhed i det nu , så du må ha en firewall eller noget.
Det du kom med af command line er forkert. Det kan ikke lade sig gøre.
Routeren vil slet ikke kendes ved den command, og hvis det skal være,
skal det vist være
set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 tcp
set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 udp
Det lader også til at det virker, men det er stadigvæk ikke godt nok,
fordi at trafikken der skal ud benytter stadigvæk Source Port NAT.
Grunden til at jeg skal have det sådan er simpel.
Jeg har kun en IP adresse, som jeg skal NAT til en privat IP adresse,
som ejes af en firewall. Den firewall skal terminere VPN tunnel,
derfor skal jeg kunne forwarde alt trafik fra inside til outside via
en IP adresse, uden at ændre i source porten.
>det der går fra din(e) putere og ud bliver jo til dynamisk nat entries
Og det er jo skidt...!
Jeg har prøvet med kommandoen: set nat entry add <intern ip>, men det
er igen fra outside til inside!
Cisco 677 sutter for vildt....!
--
Kristian Krautwald
| |
Alex Striker (10-11-2001)
| Kommentar Fra : Alex Striker |
Dato : 10-11-01 13:59 |
|
Hej Kristian
"Kristian Krautwald" <kristian@krautwald.dk> skrev i en meddelelse
news:ah6qut8f7jiufstvppe2qg0n674fjlispq@4ax.com...
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 tcp
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 udp
ja selvfølgelig glemte lige port nr. efter global ip
> Det lader også til at det virker, men det er stadigvæk ikke godt nok,
> fordi at trafikken der skal ud benytter stadigvæk Source Port NAT.
fint ,
> Grunden til at jeg skal have det sådan er simpel.
>
> Jeg har kun en IP adresse, som jeg skal NAT til en privat IP adresse,
> som ejes af en firewall. Den firewall skal terminere VPN tunnel,
> derfor skal jeg kunne forwarde alt trafik fra inside til outside via
> en IP adresse, uden at ændre i source porten.
nå ok
men stadig , det der kommer fra din computer bliver åbnet i routeren
når det skal . altså de porte der skal åbnes bliver det når din puter
skal bruge til ud trafik , det er dynamisk port entries , der kommer og går
når der er brug for det , der er så en timeout ved tcp/udp/icmp.
ellers må du nok bestille rigtig global ip (hvis du kan , der hvor du har din isp)
så er du ude over nat på routeren , men skal så ha en puter til at gøre
i stedet........
> >det der går fra din(e) putere og ud bliver jo til dynamisk nat entries
>
> Og det er jo skidt...!
ja det er ikke så godt
> Jeg har prøvet med kommandoen: set nat entry add <intern ip>, men det
> er igen fra outside til inside!
> Cisco 677 sutter for vildt....!
ja det er nu ikke den bedste router der findes
> --
> Kristian Krautwald
Mvh Alex Striker
--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk
| |
Jakob Færch (10-11-2001)
| Kommentar Fra : Jakob Færch |
Dato : 10-11-01 19:53 |
|
In article <9sj8aq$27u9$1@news.cybercity.dk>,
"Alex Striker" <striker@nospamanarki.dk> wrote:
> ellers må du nok bestille rigtig global ip (hvis du kan , der hvor du har din
> isp)
Hvis jeg har forstået diskussionen rigtigt, er isp'en CyberCity. De
tilbyder global ip her:
http://www.cybercity.dk/privat/produkter/adsl/global_ip/
/Jakob
| |
Martin Bilgrav (12-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 12-11-01 02:21 |
|
>
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 tcp
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 udp
Hejsa
Jeg har selv været ude får, at det ikke virker selvom den sluger commandoen,
når man skriver 0.0.0.0 - -skriv hellere WAN IP'en istedet.
og forresten tror jeg ikke C677 er ESP-ready (VPN) til det du beskriver - du
skal have fat i en soho77 eller 827.
Har selv gjort dette...som sagt.
Mvh
Martin
| |
Martin Bilgrav (12-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 12-11-01 02:27 |
|
"Kristian Krautwald" <kristian@krautwald.dk> wrote in message
news:ah6qut8f7jiufstvppe2qg0n674fjlispq@4ax.com...
> Jeg har kun en IP adresse, som jeg skal NAT til en privat IP adresse,
> som ejes af en firewall. Den firewall skal terminere VPN tunnel,
> derfor skal jeg kunne forwarde alt trafik fra inside til outside via
> en IP adresse, uden at ændre i source porten.
Det er vel ikke en PIX? så har du husket sysopt permit-ipsec ?
Prøv evt med en c3005 og en VPN sw client - den kan gå gennem NAT.
eller få nogle flere IP og drop det NAT lort - Det stinker på en 677...
Det tog mig 6 dage at få IP via Tiscali....
Mvh
Martin
| |
Martin Bilgrav (12-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 12-11-01 02:28 |
|
Hvilken version CBOS har du i den dåse ?
| |
Martin Bilgrav (10-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 10-11-01 11:37 |
|
Hejsa Hr. Krautwald !
Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
Tiscali adsl.
Den har jo IOS... resten kender du.
Mvh
Martin Bilgrav
PS der er jo rigtigt nok at det kun er alt udenfrakommende der er nødvendigt
at stat-natte indad...
Dvs forward alt til denne inside IP, fx til brug af VPN.
Right ?
"Kristian Krautwald" <kristian@krautwald.dk> wrote in message
news:sgsput05lbnp4gr9ifhmgg8c7jh35ebgin@4ax.com...
> Hej Alle!
>
> Hvordan får man Cisco 677 til at benytte NAT 1 til 1 begge veje? Men
> andre ord, vil jeg have at al trafik der kommer fra outside, bliver
> nat'te ind på en private IP. Og det samme med trafik fra inside til
> outside. Ikke noget med port-nat.
>
> Mange tak for hjælpen!
>
> --
> Med venlig hilsen
> Kristian Krautwald <kristian@krautwald.dk>
> http://www.krautwald.dk
| |
Kristian Krautwald (10-11-2001)
| Kommentar Fra : Kristian Krautwald |
Dato : 10-11-01 13:26 |
|
On Sat, 10 Nov 2001 11:36:46 +0100, "Martin Bilgrav"
<bilgrav_NOSPAM_@image.dk> wrote:
>Hejsa Hr. Krautwald !
Hej Martin,
All well?
>Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
>Tiscali adsl.
Dette er en Cybercity router!
>Den har jo IOS... resten kender du.
Ja, det ville være bedre.. meget bedre!
>PS der er jo rigtigt nok at det kun er alt udenfrakommende der er nødvendigt
>at stat-natte indad...
Hmmm... hvad mener du?
>Dvs forward alt til denne inside IP, fx til brug af VPN.
>Right ?
Wrong!
--
Kristian Krautwald
| |
Martin Bilgrav (11-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 11-11-01 23:16 |
|
"Kristian Krautwald" <kristian@krautwald.dk> wrote in message
news:217qut8l6o7stuqnt0k0j3j46bbb4gkpev@4ax.com...
> On Sat, 10 Nov 2001 11:36:46 +0100, "Martin Bilgrav"
> <bilgrav_NOSPAM_@image.dk> wrote:
>
> >Hejsa Hr. Krautwald !
>
> Hej Martin,
>
> All well?
Sure !
>
> >Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
> >Tiscali adsl.
>
> Dette er en Cybercity router!
hehehe tag dog og prøv alligevel a få den bytte ! giv dog ikke op på forhånd
!
>
> >Den har jo IOS... resten kender du.
>
> Ja, det ville være bedre.. meget bedre!
nemlig
>
> >PS der er jo rigtigt nok at det kun er alt udenfrakommende der er
nødvendigt
> >at stat-natte indad...
>
> Hmmm... hvad mener du?
Jeg mener det er kun funktionsmæssigt nødvendigt at lave statisk NAT udefra
og ind. Typisk vil man lave det sådan at ALT hvad der kommer ind skal videre
til en anden IP på indersiden. Denne inderside IP kunne da være en FW eller
VPN dåse.
Routeren er vel i forvejen opsat til at køre NAT/PAT på inderside initieret
traffik.
>
> >Dvs forward alt til denne inside IP, fx til brug af VPN.
> >Right ?
>
> Wrong!
>
> --
> Kristian Krautwald
Martin@bilgrav.dk http://www.bilgrav.dk http://bg.fruhansens.dk
>
| |
alwresuihalert (11-11-2001)
| Kommentar Fra : alwresuihalert |
Dato : 11-11-01 15:11 |
|
snip
> Hejsa Hr. Krautwald !
>
> Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
> Tiscali adsl.
> Den har jo IOS... resten kender du.
> Mvh
> Martin Bilgrav
Hvad er forskellen på 667 og soho77. IOS, hvad kan det? Hvad kan soho77 som
667 ikke kan - har du eksempler?
| |
Martin Bilgrav (11-11-2001)
| Kommentar Fra : Martin Bilgrav |
Dato : 11-11-01 23:11 |
|
>
> Hvad er forskellen på 667 og soho77. IOS, hvad kan det? Hvad kan soho77
som
> 667 ikke kan - har du eksempler?
>
>
Hejsa
IOS er navnet på Cisco's Firmware til router, så hvad den kan ? tja alt...
Du mener sikkert 677 ?! med den router har den en CBOS istedet for IOS (igen
firmware navne)
CBOS har en helt anden måde at fungere på grundlæggende, og IOS er klart at
foretrække.
HTH
Martin
| |
|
|