/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Cisco 677 og 1 til 1 NAT
Fra : Kristian Krautwald


Dato : 10-11-01 10:30

Hej Alle!

Hvordan får man Cisco 677 til at benytte NAT 1 til 1 begge veje? Men
andre ord, vil jeg have at al trafik der kommer fra outside, bliver
nat'te ind på en private IP. Og det samme med trafik fra inside til
outside. Ikke noget med port-nat.

Mange tak for hjælpen!

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

 
 
Alex Striker (10-11-2001)
Kommentar
Fra : Alex Striker


Dato : 10-11-01 10:42

Hej Kristian

prøv
log in på routeren i enable mode og sætte ind:

set nat entry add <intern ip> 0-65535 0.0.0.0 tcp
set nat entry add <intern ip> 0-65535 0.0.0.0 udp
write
reboot


Mvh Alex Striker

--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk


"Kristian Krautwald" <kristian@krautwald.dk> skrev i en meddelelse
news:sgsput05lbnp4gr9ifhmgg8c7jh35ebgin@4ax.com...
> Hej Alle!
>
> Hvordan får man Cisco 677 til at benytte NAT 1 til 1 begge veje? Men
> andre ord, vil jeg have at al trafik der kommer fra outside, bliver
> nat'te ind på en private IP. Og det samme med trafik fra inside til
> outside. Ikke noget med port-nat.
>
> Mange tak for hjælpen!
>
> --
> Med venlig hilsen
> Kristian Krautwald <kristian@krautwald.dk>
> http://www.krautwald.dk



Kristian Krautwald (10-11-2001)
Kommentar
Fra : Kristian Krautwald


Dato : 10-11-01 10:49

In newsgroup dk.edb.netvaerk wrote, Alex Striker, this, the Sat, 10 Nov
2001 10:41:34 +0100:

Hello Alex Striker,

>set nat entry add <intern ip> 0-65535 0.0.0.0 tcp
>set nat entry add <intern ip> 0-65535 0.0.0.0 udp

Tak! Men er dette ikke kun fra outside til inside? Hvad med fra inside
til outside?

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk

Alex Striker (10-11-2001)
Kommentar
Fra : Alex Striker


Dato : 10-11-01 10:53

Hej Kristian

"Kristian Krautwald" <kristian@krautwald.dk> skrev i en meddelelse
news:9ttput0p8lk6076ijp3pufgk250q4l57hu@4ax.com...
> In newsgroup dk.edb.netvaerk wrote, Alex Striker, this, the Sat, 10 Nov
> 2001 10:41:34 +0100:
>
> Hello Alex Striker,
>
> >set nat entry add <intern ip> 0-65535 0.0.0.0 tcp
> >set nat entry add <intern ip> 0-65535 0.0.0.0 udp
>
> Tak! Men er dette ikke kun fra outside til inside? Hvad med fra inside
> til outside?

og hvad tror du UDP bliver brugt til ?

det skal lige siges at total port forwardning kun virker fra cbos ver. 2.4.1

Mvh Alex Striker

--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk




Kristian Krautwald (10-11-2001)
Kommentar
Fra : Kristian Krautwald


Dato : 10-11-01 11:00

In newsgroup dk.edb.netvaerk wrote, Alex Striker, this, the Sat, 10 Nov
2001 10:52:56 +0100:

Hello Alex Striker,

>og hvad tror du UDP bliver brugt til ?

Det forstår jeg simpelthen ikke hvad du mener med det? Hvorfor skulle
det være anderledes end med tcp? UDP encap?

--
Med venlig hilsen
Kristian Krautwald <kristian@krautwald.dk>
http://www.krautwald.dk


Alex Striker (10-11-2001)
Kommentar
Fra : Alex Striker


Dato : 10-11-01 11:05


> >og hvad tror du UDP bliver brugt til ?
>
> Det forstår jeg simpelthen ikke hvad du mener med det? Hvorfor skulle
> det være anderledes end med tcp? UDP encap?

jo altså med tcp/udp protokollerene + forward af alle port
er alt jo åben og ingen sikkerhed i det nu , så du må ha en firewall eller noget.

det der går fra din(e) putere og ud bliver jo til dynamisk nat entries

Mvh Alex Striker

--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk




Kristian Krautwald (10-11-2001)
Kommentar
Fra : Kristian Krautwald


Dato : 10-11-01 13:23

On Sat, 10 Nov 2001 11:05:13 +0100, "Alex Striker"
<striker@nospamanarki.dk> wrote:

Hej Alex

>jo altså med tcp/udp protokollerene + forward af alle port
>er alt jo åben og ingen sikkerhed i det nu , så du må ha en firewall eller noget.

Det du kom med af command line er forkert. Det kan ikke lade sig gøre.
Routeren vil slet ikke kendes ved den command, og hvis det skal være,
skal det vist være

set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 tcp
set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 udp

Det lader også til at det virker, men det er stadigvæk ikke godt nok,
fordi at trafikken der skal ud benytter stadigvæk Source Port NAT.

Grunden til at jeg skal have det sådan er simpel.

Jeg har kun en IP adresse, som jeg skal NAT til en privat IP adresse,
som ejes af en firewall. Den firewall skal terminere VPN tunnel,
derfor skal jeg kunne forwarde alt trafik fra inside til outside via
en IP adresse, uden at ændre i source porten.

>det der går fra din(e) putere og ud bliver jo til dynamisk nat entries

Og det er jo skidt...!

Jeg har prøvet med kommandoen: set nat entry add <intern ip>, men det
er igen fra outside til inside!

Cisco 677 sutter for vildt....!

--
Kristian Krautwald

Alex Striker (10-11-2001)
Kommentar
Fra : Alex Striker


Dato : 10-11-01 13:59

Hej Kristian

"Kristian Krautwald" <kristian@krautwald.dk> skrev i en meddelelse
news:ah6qut8f7jiufstvppe2qg0n674fjlispq@4ax.com...

> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 tcp
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 udp

ja selvfølgelig glemte lige port nr. efter global ip

> Det lader også til at det virker, men det er stadigvæk ikke godt nok,
> fordi at trafikken der skal ud benytter stadigvæk Source Port NAT.

fint ,

> Grunden til at jeg skal have det sådan er simpel.
>
> Jeg har kun en IP adresse, som jeg skal NAT til en privat IP adresse,
> som ejes af en firewall. Den firewall skal terminere VPN tunnel,
> derfor skal jeg kunne forwarde alt trafik fra inside til outside via
> en IP adresse, uden at ændre i source porten.

nå ok
men stadig , det der kommer fra din computer bliver åbnet i routeren
når det skal . altså de porte der skal åbnes bliver det når din puter
skal bruge til ud trafik , det er dynamisk port entries , der kommer og går
når der er brug for det , der er så en timeout ved tcp/udp/icmp.

ellers må du nok bestille rigtig global ip (hvis du kan , der hvor du har din isp)
så er du ude over nat på routeren , men skal så ha en puter til at gøre
i stedet........


> >det der går fra din(e) putere og ud bliver jo til dynamisk nat entries
>
> Og det er jo skidt...!

ja det er ikke så godt

> Jeg har prøvet med kommandoen: set nat entry add <intern ip>, men det
> er igen fra outside til inside!



> Cisco 677 sutter for vildt....!

ja det er nu ikke den bedste router der findes

> --
> Kristian Krautwald

Mvh Alex Striker

--
Udtaler mig udelukkende på firmaet´s vegne
URL : http://hjem.get2net.dk/alexs
http://www.striker.adsl.dk




Jakob Færch (10-11-2001)
Kommentar
Fra : Jakob Færch


Dato : 10-11-01 19:53

In article <9sj8aq$27u9$1@news.cybercity.dk>,
"Alex Striker" <striker@nospamanarki.dk> wrote:


> ellers må du nok bestille rigtig global ip (hvis du kan , der hvor du har din
> isp)

Hvis jeg har forstået diskussionen rigtigt, er isp'en CyberCity. De
tilbyder global ip her:
http://www.cybercity.dk/privat/produkter/adsl/global_ip/

/Jakob

Martin Bilgrav (12-11-2001)
Kommentar
Fra : Martin Bilgrav


Dato : 12-11-01 02:21


>
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 tcp
> set nat entry add <intern IP> 1-65535 0.0.0.0 1-65535 udp

Hejsa

Jeg har selv været ude får, at det ikke virker selvom den sluger commandoen,
når man skriver 0.0.0.0 - -skriv hellere WAN IP'en istedet.

og forresten tror jeg ikke C677 er ESP-ready (VPN) til det du beskriver - du
skal have fat i en soho77 eller 827.
Har selv gjort dette...som sagt.

Mvh
Martin





Martin Bilgrav (12-11-2001)
Kommentar
Fra : Martin Bilgrav


Dato : 12-11-01 02:27


"Kristian Krautwald" <kristian@krautwald.dk> wrote in message
news:ah6qut8f7jiufstvppe2qg0n674fjlispq@4ax.com...

> Jeg har kun en IP adresse, som jeg skal NAT til en privat IP adresse,
> som ejes af en firewall. Den firewall skal terminere VPN tunnel,
> derfor skal jeg kunne forwarde alt trafik fra inside til outside via
> en IP adresse, uden at ændre i source porten.

Det er vel ikke en PIX? så har du husket sysopt permit-ipsec ?
Prøv evt med en c3005 og en VPN sw client - den kan gå gennem NAT.
eller få nogle flere IP og drop det NAT lort - Det stinker på en 677...
Det tog mig 6 dage at få IP via Tiscali....

Mvh
Martin





Martin Bilgrav (12-11-2001)
Kommentar
Fra : Martin Bilgrav


Dato : 12-11-01 02:28

Hvilken version CBOS har du i den dåse ?



Martin Bilgrav (10-11-2001)
Kommentar
Fra : Martin Bilgrav


Dato : 10-11-01 11:37

Hejsa Hr. Krautwald !

Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
Tiscali adsl.
Den har jo IOS... resten kender du.
Mvh
Martin Bilgrav

PS der er jo rigtigt nok at det kun er alt udenfrakommende der er nødvendigt
at stat-natte indad...
Dvs forward alt til denne inside IP, fx til brug af VPN.
Right ?

"Kristian Krautwald" <kristian@krautwald.dk> wrote in message
news:sgsput05lbnp4gr9ifhmgg8c7jh35ebgin@4ax.com...
> Hej Alle!
>
> Hvordan får man Cisco 677 til at benytte NAT 1 til 1 begge veje? Men
> andre ord, vil jeg have at al trafik der kommer fra outside, bliver
> nat'te ind på en private IP. Og det samme med trafik fra inside til
> outside. Ikke noget med port-nat.
>
> Mange tak for hjælpen!
>
> --
> Med venlig hilsen
> Kristian Krautwald <kristian@krautwald.dk>
> http://www.krautwald.dk



Kristian Krautwald (10-11-2001)
Kommentar
Fra : Kristian Krautwald


Dato : 10-11-01 13:26

On Sat, 10 Nov 2001 11:36:46 +0100, "Martin Bilgrav"
<bilgrav_NOSPAM_@image.dk> wrote:

>Hejsa Hr. Krautwald !

Hej Martin,

All well?

>Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
>Tiscali adsl.

Dette er en Cybercity router!

>Den har jo IOS... resten kender du.

Ja, det ville være bedre.. meget bedre!

>PS der er jo rigtigt nok at det kun er alt udenfrakommende der er nødvendigt
>at stat-natte indad...

Hmmm... hvad mener du?

>Dvs forward alt til denne inside IP, fx til brug af VPN.
>Right ?

Wrong!

--
Kristian Krautwald


Martin Bilgrav (11-11-2001)
Kommentar
Fra : Martin Bilgrav


Dato : 11-11-01 23:16


"Kristian Krautwald" <kristian@krautwald.dk> wrote in message
news:217qut8l6o7stuqnt0k0j3j46bbb4gkpev@4ax.com...
> On Sat, 10 Nov 2001 11:36:46 +0100, "Martin Bilgrav"
> <bilgrav_NOSPAM_@image.dk> wrote:
>
> >Hejsa Hr. Krautwald !
>
> Hej Martin,
>
> All well?

Sure !
>
> >Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
> >Tiscali adsl.
>
> Dette er en Cybercity router!
hehehe tag dog og prøv alligevel a få den bytte ! giv dog ikke op på forhånd
!

>
> >Den har jo IOS... resten kender du.
>
> Ja, det ville være bedre.. meget bedre!

nemlig
>
> >PS der er jo rigtigt nok at det kun er alt udenfrakommende der er
nødvendigt
> >at stat-natte indad...
>
> Hmmm... hvad mener du?
Jeg mener det er kun funktionsmæssigt nødvendigt at lave statisk NAT udefra
og ind. Typisk vil man lave det sådan at ALT hvad der kommer ind skal videre
til en anden IP på indersiden. Denne inderside IP kunne da være en FW eller
VPN dåse.
Routeren er vel i forvejen opsat til at køre NAT/PAT på inderside initieret
traffik.

>
> >Dvs forward alt til denne inside IP, fx til brug af VPN.
> >Right ?
>
> Wrong!
>


> --
> Kristian Krautwald
Martin@bilgrav.dk http://www.bilgrav.dk http://bg.fruhansens.dk

>



alwresuihalert (11-11-2001)
Kommentar
Fra : alwresuihalert


Dato : 11-11-01 15:11

snip
> Hejsa Hr. Krautwald !
>
> Jeg vil få ombyttet routeren til en soho77 - det har jeg lige gjort ved
> Tiscali adsl.
> Den har jo IOS... resten kender du.
> Mvh
> Martin Bilgrav

Hvad er forskellen på 667 og soho77. IOS, hvad kan det? Hvad kan soho77 som
667 ikke kan - har du eksempler?



Martin Bilgrav (11-11-2001)
Kommentar
Fra : Martin Bilgrav


Dato : 11-11-01 23:11


>
> Hvad er forskellen på 667 og soho77. IOS, hvad kan det? Hvad kan soho77
som
> 667 ikke kan - har du eksempler?
>
>
Hejsa
IOS er navnet på Cisco's Firmware til router, så hvad den kan ? tja alt...
Du mener sikkert 677 ?! med den router har den en CBOS istedet for IOS (igen
firmware navne)
CBOS har en helt anden måde at fungere på grundlæggende, og IOS er klart at
foretrække.

HTH
Martin




Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408877
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste