Cisco 878 von LAN per Öffentliche IP auf DMZ zugreifen

[Dominic Schallert]

Hallo,
stehe schon seit längerem vor dem Problem,
dass ich vom LAN aus nicht auf meine öffentliche IP die per NAT auf den DMZ Webserver zeigt, zugreifen kann.




Ich erreiche den Webserver vom LAN aus zwar unter 192.168.2.200, aber nicht mit der öffentlichen IP 194.208.141.130.
Von außen funktioniert es perfekt.

Config
http://paste.bradleygill.com/index.php?paste_id=2668


Grüsse
Dominic

[Anisachse]

hi,
das zwar jetzt halbwissen, aber die nat einträge sehen für mich so aus als ob nur von outside auf den webserver in der dmz (port 80) zugegriffen werden kann...
ip nat inside source static tcp 192.168.2.200 80 interface Vlan3 80 <--


hilft nicht ein
ip nat inside source static tcp 192.168.2.200 80 interface Vlan1 80 ?!

[Dominic Schallert]

hat leida auch ned geholfen :/

[#9370]

mach mal einen Sniffertrace auf dem Client und schau, ob eine Antwort vom Server zurückkommt und zwar, ob er mit der offiziellen oder privaten IP daherkommt.

/#9370

[Otaku19]

vielleicht nat umbaun sodass aufrufe zwischne den VLANs nicht übersetzt werden ? müsste man eben mit route-maps machen

[Dominic Schallert]

Hallo,
danke für euere tipps

hier erstmal ein Traceroute ausm LAN:

Routenverfolgung zu 194-208-141-130.tele.net [194.208.141.130]  über maximal 30
Abschnitte:

  1    <1 ms    <1 ms    <1 ms  194-208-141-130.tele.net [194.208.141.130]

Ablaufverfolgung beendet.


Wäre es möglich das mein Prinzip von DMZ so wie es momentan im Einsatz ist falsch ist?
Ich kann ja immerhin vom Client-PC im LAN (192.168.0.100) auf die DMZ und den darunter liegenden Webserver (192.168.2.200) lokal zugreifen.

Ich habe das externe Interface (Vlan3/Fe3) auf    ip nat outside.
LAN (Vlan1(Fe0) und DMZ (Vlan2/Fe1) auf    ip nat inside.


Genattet werden DMZ/LAN ins externe Interface per..

ip nat inside source list 1 interface Vlan3 overload
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255


Grüsse

[#9370]

wie schaut es mit dem Sniffertrace aus?

/#9370

[Dominic Schallert]

wie macht man einen Sniffertrace?

[#9370]

http://www.wireshark.org/

/#9370

[Dominic Schallert]

Oh sorry ned ganz geschnitten, dachte das is was eigenes

679   176.620725   192.168.0.101   194.208.141.130   ICMP   Echo (ping) request
680   176.621507   194.208.141.130   192.168.0.101   ICMP   Echo (ping) reply


Internet Protocol, Src: 194.208.141.130 (194.208.141.130), Dst: 192.168.0.101 (192.168.0.101)
Source: Cisco_2e:9e:5a (00:19:56:2e:9e:5a)


Der Reply kommt ganz offensichtlich von der öffentlichen IP


Grüsse

[Dominic Schallert]

werde es mal mit port-map versuchen..
danke

[#9370]

Der Reply kommt ganz offensichtlich von der öffentlichen IP

das habe ich mir gedacht. Du musst den Server vom internen Netz aus auch naten.

/#9370

[Dominic Schallert]

Komme mit port-map einfach nicht weiter :/




access-list 101 permit tcp 192.168.0.0 0.0.0.255 host 194.208.141.130
!
route-map FWD2WEBSITE permit 10
match ip address 101
set interface Vlan 3
set ip next-hop 192.168.2.200
exit
!
interface Vlan 1
policy-map FWD2WEBSITE
exit

[#9370]

Probiers mal mit Destination NAT:

Code:

ip nat inside destination { list <acl> pool <name>
| static <global-ip> <local-ip> }

/#9370

edit:
Bsp: ip nat inside destination static 194.208.141.130 192.168.0.101

[Dominic Schallert]

hmmm.. werde es mal weiterhin versuchen..