ALiEn 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Hallo, folgende config funktioniert derzeit nicht: interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0 ip nat outside duplex auto speed auto ! interface Ethernet6/0 ip address 192.168.2.1 255.255.255.0 ip nat outside duplex auto speed auto ! ip nat inside source list 1 interface Ethernet6/0 overload ip nat inside source list 2 interface FastEthernet1/0 overload ip classless ! ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 2 permit 192.168.0.0 0.0.0.255 Es wird immer auf die Adresse von "Ethernet6/0" übersetzt, auch wenn es in das Netz von "FastEthernet1/0" geht. Ist es möglich das der Router erkennt in welches Netz die Reise geht und er die "richtige" Source IP einträgt? :suspect: Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 hm, merkwürdig...würde ich über route-maps lösen Zitieren Link zu diesem Kommentar
ALiEn 10 Geschrieben 14. April 2010 Autor Melden Teilen Geschrieben 14. April 2010 Habs: ip nat inside source list 101 interface Ethernet6/0 overload ip nat inside source list 102 interface FastEthernet1/0 overload ip classless ! ! access-list 101 permit icmp 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit icmp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 Routing würde in diesem speziellen fall nicht funktionieren. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Ich hab grad dasselbe Problem, bei mir betriffts aber das Default GW und Tracking. Da helfen die ACLs nicht viel ... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Route-Map hilft auch nicht: access-list 110 deny ip 10.12.12.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 110 permit ip 10.12.12.0 0.0.0.255 any access-list 111 deny ip 10.12.12.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 111 permit ip 10.12.12.0 0.0.0.255 any route-map sdsl permit 10 match ip address 110 set interface Dialer1 ! route-map adsl permit 10 match ip address 111 set interface Dialer4 ip nat inside source route-map adsl interface Dialer4 overload ip nat inside source route-map sdsl interface Dialer1 overload Schade ... Das Paket verlaesst zwar das richtige IF, wird aber die falsche Source genommen .. :( Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 und nach welcher "Logik" wird dann diese "default PAT Ip" hergenommen ? @Alien warum: access-list 101 permit icmp 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit icmp 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 und nicht access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 102 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 ? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 und nach welcher "Logik" wird dann diese "default PAT Ip" hergenommen ? Nach meiner! :) Es gibt naemlich nur ein Default GW, das andere wird getracked, die Entscheidung auf welche IP genattet wird muesste also nach der Routing decision passieren, tuts aber nicht :( Zitieren Link zu diesem Kommentar
Kartfahrer 10 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Hallo, folgende config funktioniert derzeit nicht: interface FastEthernet0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside duplex auto speed auto ! interface FastEthernet1/0 ip address 192.168.1.1 255.255.255.0 ip nat outside duplex auto speed auto ! interface Ethernet6/0 ip address 192.168.2.1 255.255.255.0 ip nat outside duplex auto speed auto ! ip nat inside source list 1 interface Ethernet6/0 overload ip nat inside source list 2 interface FastEthernet1/0 overload ip classless ! ! access-list 1 permit 192.168.0.0 0.0.0.255 access-list 2 permit 192.168.0.0 0.0.0.255 Es wird immer auf die Adresse von "Ethernet6/0" übersetzt, auch wenn es in das Netz von "FastEthernet1/0" geht. Ist es möglich das der Router erkennt in welches Netz die Reise geht und er die "richtige" Source IP einträgt? :suspect: Da ich nur theoretische und keine praktische NAT Erfahrung hab muss ich mal **** fragen. Anhand der ACL wird die Source IP am inside Interface in dem Fall jetzt Fast0/0 überprüft. Wenn jetzt die Source IP der ACL entspricht wird sie auf die IP des outside Interface geändert und eine andere Portnummer gewählt. Was mir jetzt aber nicht ganz klar ist, wann wird die ACL1 (bzw. ACL101) und wann die ACL2(bzw. ACL102) verwendet? Oder geht es gleichzeitig an beiden outside Interfacen raus?:confused::confused: Wäre super wenn hier jemand bei mir etwas Licht ins dunkel bringen könnte. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Nach meiner Theorie matched immer ACL1 und er macht nicht weiter. ACL1 hat Nat auf Eth6/0, also nimmt er die IP, egal welches Interface das Paket verlaesst ... Zitieren Link zu diesem Kommentar
ALiEn 10 Geschrieben 15. April 2010 Autor Melden Teilen Geschrieben 15. April 2010 @Otaku19 Ich hatte ICMP nur zu Testzwecken eingetragen. @Kartfahrer ACL1 wurde immer angewandt - bis zur ACL2 kam das Paket erst gar nicht. Das war der Fehler. Zitieren Link zu diesem Kommentar
Kartfahrer 10 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 OK dann ergibt das Sinn, dann komm ich vom Kopf her mit. Die ACL 101 bzw 102 greift dann also auch nur wenn die Destination IP im 192.168.2.0/24 bzw. 192.168.1.0/24 Netz ist. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 Nach meiner! :) Es gibt naemlich nur ein Default GW, das andere wird getracked, die Entscheidung auf welche IP genattet wird muesste also nach der Routing decision passieren, tuts aber nicht :( Gehe zurueck auf Los, ziehe keine 4000 Euro ein. Ganz anderer Fehler/Bug: Ich hab ne 878, direkt am SDSL Modem haengt SDSL (Default GW). Am anderen Port haengt ein ADSL Modem mit DSL3000. Darueber geht ein EasyVPN. Also Surfen ueber SDSL, VPN ueber ADSL. Dann mach ich noch gegenseitiges Tracking, damit in jedem Fall Surfen und VPN geht. NAT wird aber nur auf die IP gemacht, wo grad auch das EasyVPN drueber laeuft. Auch wenn NAT komplett deaktiviert ist!!! Ich such mal weiter :) Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 OK, Fall geloest, fuer alle dies interessiert: access-list 110 deny ip 10.12.12.0 0.0.0.255 10.0.0.0 0.255.255.255 access-list 110 permit ip 10.12.12.0 0.0.0.255 any ip nat inside source list 110 interface Dialer1 overload Wenn jetzt Default GW auf Dialer 4 geswitched wird braucht man Tracking und: event manager applet routechange1 event syslog pattern "123 ip sla 1 reachability Up->Down" action 1.0 cli command "enable" action 1.1 cli command "clear ip nat translation forced" action 1.2 cli command "configure term" action 1.3 cli command "no ip nat inside source list 110 interface Dialer1 overload" action 1.4 cli command "ip nat inside source list 110 interface Dialer4 overload" event manager applet routechange2 event syslog pattern "123 ip sla 1 reachability Down->Up" action 1.0 cli command "enable" action 1.1 cli command "clear ip nat translation forced" action 1.2 cli command "configure term" action 1.3 cli command "no ip nat inside source list 110 interface Dialer4 overload" action 1.4 cli command "ip nat inside source list 110 interface Dialer1 overload" ! War ne schwere Geburt :) Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. April 2010 Melden Teilen Geschrieben 15. April 2010 pf, bei allem wo dei ASA verkrüppelt worden is gegenüber einem Router...sowas wäre in 2 Zeilen erledigt :D Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 16. April 2010 Melden Teilen Geschrieben 16. April 2010 Die ASA kann nicht mal Dial Backup bei EasyVPN, geschweige denn irgendwas interessantes mit Route-Maps ;) Aber der EasyVPN Server is bei mir ne ASA :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.