Cisco 803 Port mapping

[Cliff 10]

Hallo Leute,

 

mein Problem ist das selbe wie viele es haben.

Ich möchte Port 4662 und 4672 forworden (oder wie das heißt).

Ich weiß es gab schon viele Antworten zu dem Thema (mr._oiso).

Aber leider konnte ich nie was damit anfangen da ich beim Thema Router und IP totaler Anfänger bin.

Also bräuchte ich eine genaue Anleitung wie und wo ich da was machen muss.

 

Wäre sehr dankbar auf eure Hilfe.

 

Cliff

[mr._oiso 10]

Hi Cliff

 

Teil A

 

 

Mal ganz vorab !

Hast Du die möglichkeit mal Deine Konfiguration hier zu pasten ?

In weit bist Du in der Lage via Console oder IP:Telnet auf Deinen

Router zu gehen, und die Konfiguration zu ändern.

 

Läuft Dein Router schon ?

Hast Du default Internet-Connect ?

 

Das was eigentlich zu machen ist, ist statisches NAT !

NAT = Network Address Translation

 

Dazu solltest Du wissen, dass NAT den Sinn hat, dass Dein

Netzwerk (LAN) sich hinter der IP-Adr., welche Du von deinem

Provider bei der Einwahl bekommst, versteckt.

Diese geschieht mit dem Eintrag:

 

ip nat inside source list 1 interface BVI (auch dialer 1 möglich) overload

 

Zusätzlich gibt es da noch den List-Eintrag, welchen Du auf dem Router finden wirst. Er lautet etwa:

 

access-list 1 permit 192.168.0.0 0.0.0.255 z.B.

 

Mit diesem Eintrag wird in einer Standard ip Filter-List definiert, welche aussagt, welche LAN-Adr. sich hinter der IP-Adr. Deines Provider`s verstecken sollen.

Das heißt mit 192.168.0.0/24 meine ich Dein LAN.

Die access-list 1 ist auch die, die in "ip nat inside source list 1" verwendet wird.

inside source = LAN Quell IP

outside = Internet IP vom Provider !

 

Alles bis hierhin ist in der Regel eine default (standard) Konfiguration.

Das heißt mit anderen Worten, dynamisches NAT.

 

Beispiel:

Dein PC 192.168.0.10 möchte eine Webside auf http://www.heise.de'>http://www.heise.de'>http://www.heise.de öffnen. Was geschieht. Dein PC kennt http://www.heise.de nicht. Also muss er die Domain zu einer IP-Adr. auflösen. Das versucht er in der Regel zuerst via Hosts-Datei lokal ! Da er dort in der Regel nix findet, könnte er via Netbios suchen

wenn an der Netzwerkkarte aktiviert. Ich meine aber nicht, da Netbios keine full qualified names auflöst. Ergo bleibt ihm der DNS Eintrag, den Du auf der Netzwerkkarte konfiguriert hast, und welcher unter umständen der Router sein kann. (Auch lokal DNS Server möglich)

Dazu wird ein Host Port (>1023) der Quelle (Dein PC) verwendet, um das Ziel Router IP Server Port 53 anzusprechen. Sollte der Router den DNS-Namen nicht auflösen können, startet er seinerseits eine DNS-Session mit der offiziellen

IP vom Provider (einem Host Port > 1023) und fragt den ebenfals vom Provider mitgelieferten DNS-Server ab ! Ziel ist hierbei auch Port 53.

Sollte das klappen, so stellt Dein PC danach, wenn er die IP von http://www.heise.de erhalten hat eine neue Session.

Wieder Host Port zum Ziel http://www.heise.de:80 ! Nun passiert folgendes.

Der Router tauscht nach dem er die Anfrage von Deinem PC erhalten hat die Quell-IP aus. Aus 192.168.0.10:3103 z.B. wird im besten Fall 217.87.17.214:3103

Da der Router aber unter umständen für mehrere PC`s die gleiche Session durchführen muss, könnte aus 217.87.17.214:3103 auch 217.87.17.214:3107 werden.

Und schon hastDu den Portdreher drin ! Das gleiche passiert Dir mit dyn NAT auch mit 192.168.0.10:4662 . Aus 192.168.0.10:4662 wird 217.87.17.214:4665 z.B.

Ergebnis:

Dein Esel-Connect kommt nicht zu stande !

 

MfG

 

Mr. Oiso

[mr._oiso 10]

Hi Cliff

 

Teil B

 

Also, was ist zu tun !

Ein einfacher Zusatz in der Konfiguration sorgt dafür.

 

ip nat inside source static tcp Lan-IP 4662 interface X 4662 extendable

 

X = dialer 1, BVI 1, Ser0/1, eth 0/1, fasteth 0/1

 

Für X kann hier jedes interface stehen, welches Du mit Deinem Provider direkt verbunden hast. Es steht eigentlich als Platzhalter für Deine öffentliche IP-Adr. welche Du in der Regel alle 24 h neu bekommst. Ansonsten müsstest Du alle 24h hier Deine offizielle IP immer neu eintragen.

Wenn Du eine statische IP vom Provider aus besitzt, kannst Du natürlich auch die, statt dem Interface angeben.

 

ip nat inside source static sagt nun, dass die folgende Session dauerhaft fortgeführt wird. Ergo "statisch"

Dem Router wird mitgeteilt, dass er für die Session

tcp Lan-IP 4662 interface X 4662

Protokoll Quell-IP:Port nach offizielle-IP:gleicher Port

permanent nutzen soll.

Somit wird der Host Port 4662 auf Internetseite permanent freigehalten für eine tcp Session von Deinem PC ins Internet und zurück.

 

Das ist das ganze Geheimnis von Port Mapping bei Cisco.

Offiziell auch als Port forwarding bekannt.

 

Ich hoffe ich konnte ausreichend helfen !

 

MfG

 

Mr. Oiso

[Cliff 10]

Vielen dank für deine Hilfe Mr. Oiso.

Jetzt hab ich wenigstens ein bischen was verstanden.

Doch jetzt müsste ich noch wissen wie komm ich denn in die Konfiguration meines Routers?

Und was genau muss ich jetzt für das X einsetzen?

 

Wäre nett wenn du mir nochmal helfen würdest.

 

Cliff

 

 

 

PS: also es ist so ich kann ganz normal ins internet gehen um zu surfen aber mIRC, Kazaa oder eMule nutzen kann ich nicht das ist mein Problem. Freigegeben sind die ports auch alle (zum testen):

 

permit 192.168.0.0, wildcard bits 0.0.0.255

Extended IP access list 121

deny udp any eq netbios-dgm any (25 matches)

deny udp any eq netbios-ns any (47 matches)

deny udp any eq netbios-ss any

deny tcp any eq 137 any

deny tcp any eq 138 any

deny tcp any eq 139 any

permit ip any any time-range TIME (active) (1135 matches)

[Cliff 10]

oder kann dir vielleicht das ein wenig weiterhelfen??

bin glaub jetzt schon ziemlich nah dran oder?

 

Router(config)#$static tcp 192.168.0.212 4662 interface Dialer1 4662 extendable

ip nat inside source static tcp 192.168.0.212 4662 interface Dialer1 4662 extend

^able

 

% Invalid input detected at '^' marker.

 

 

 

 

das "^" sollte eigendlich unter dem i von interface stehen habs nur nicht da hin bekommen

 

192.168.0.212 = die ip adresse meines PCs

[Cliff 10]

oder:

 

Router(config)#$static tcp 192.168.0.212 4662 212.7.128.165 4662 extendable

 

212.7.128.165 = steht bei mir als "bevorzugter dns-server"

[Cliff 10]

ok hab rausgefunden wie das mit der config geht hoffe du kannst mir villeicht (noch heute) helfen:

kannst dich auch über icq bei mir melden (wäre sehr nett) meine nummer: 191868431

 

config:

 

Router#show config

Using 2000 out of 8060 bytes

!

! Last configuration change at 15:39:00 UTC Sun Oct 3 2004

! NVRAM config last updated at 15:39:05 UTC Sun Oct 3 2004

!

version 12.0

no service pad

service timestamps debug uptime

service timestamps log uptime

service password-encryption

!

!

logging buffered 8192 debugging

enable *********

!

ip subnet-zero

no ip source-route

!

isdn switch-type basic-net3

!

!

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.0

ip access-group 121 in

no ip directed-broadcast

no ip proxy-arp

ip nat inside

!

interface BRI0

no ip address

no ip directed-broadcast

encapsulation ppp

dialer pool-member 1

isdn switch-type basic-net3

ppp authentication chap pap callin

!

interface Dialer1

description ISP

ip address negotiated

ip access-group 121 in

no ip directed-broadcast

no ip proxy-arp

ip nat outside

encapsulation ppp

no ip split-horizon

dialer remote-name Cisco1

dialer idle-timeout 300

dialer string 08003334450 class DialClass

dialer hold-queue 10

dialer pool 1

dialer-group 1

pulse-time 0

ppp authentication chap pap callin

ppp chap hostname ********

ppp chap password ********

ppp pap sent-username ********* password ******

!

ip nat inside source list 18 interface Dialer1 overload

no ip http server

ip classless

ip route 0.0.0.0 0.0.0.0 Dialer1

!

!

map-class dialer DialClass

access-list 18 permit 192.168.0.0 0.0.0.255

access-list 121 deny udp any eq netbios-dgm any

access-list 121 deny udp any eq netbios-ns any

access-list 121 deny udp any eq netbios-ss any

access-list 121 deny tcp any eq 137 any

access-list 121 deny tcp any eq 138 any

access-list 121 deny tcp any eq 139 any

access-list 121 permit ip any any time-range TIME

dialer-list 1 protocol ip permit

!

line con 0

exec-timeout 120 0

transport input none

stopbits 1

line vty 0 4

exec-timeout 0 0

login local

!

time-range TIME

periodic daily 0:00 to 23:59

!

end

 

 

 

kannst du mir jetzt sagen was ich da genau über telnet eingeben muß????

 

Danke Cliff

[Cliff 10]

Router(config)#ip nat inside source static tcp 192.168.0.212 4662 ?

A.B.C.D Inside global IP address

 

 

 

da steht ja das da nach 4662 gar nicht das interface ... kommt oder?

[Cliff 10]

He Mr. Oiso,

 

Ja leider benötige ich deine hilfe noch.

schick mir doch einfach mal ne offlinenachricht per icq.

(bisher war ich ja noch nie im internet als du mir antworten wolltest)

Sorry das ich hier auf deine PN antworten muss aber ich kann

noch keine verschicken (erst ab 10)

 

mfg cliff

[mr._oiso 10]

Hi Cliff

 

Original geschrieben von Cliff

oder kann dir vielleicht das ein wenig weiterhelfen??

bin glaub jetzt schon ziemlich nah dran oder?

 

Router(config)#$static tcp 192.168.0.212 4662 interface Dialer1 4662 extendable

ip nat inside source static tcp 192.168.0.212 4662 interface Dialer1 4662 extend

^able

 

% Invalid input detected at '^' marker.

 

 

 

 

das "^" sollte eigendlich unter dem i von interface stehen habs nur nicht da hin bekommen

 

192.168.0.212 = die ip adresse meines PCs

 

Das ist nicht schön !

Eigendlich sollte es funktionieren.

Versuch dochmal nur "dialer1" !

Das ist zwar auch nicht die global IP, dafür aber das Interface welches die global IP hält.

Sollte das nicht funktionieren, dann paste doch mal das Ergebnis

des Befehl " sh version"

Damit kann ich dann sehen welche Hardware und welche Software du hast mit der eventuell was nicht stimmt !

 

Gruß

 

Mr. Oiso

[mr._oiso 10]

Hi cliff

 

Ich habe schon mal nachgesehen !

 

Der Interface Command im static NAT wurde erst mit IOS

Version 12.2 (13)T eingebaut !

 

Solltest Du also nicht mindestens dieses IOS auf Deinem

Router laufen haben, dann wird es etwas schwerer !

 

MfG

 

Mr. Oiso

[Cliff 10]

meine version:

 

Router(config)#exit

Router#sh version

Cisco Internetwork Operating System Software

IOS C800 Software (C800-Y6-MW), Version 12.0(4)T1, RELEASE SOFTWARE (fc1)

Copyright © 1986-1999 by cisco Systems, Inc.

Compiled Tue 18-May-99 09:47 by kpma

Image text-base: 0x000E9000, data-base: 0x00556000

 

ROM: TinyROM version 1.0(2)

Router uptime is 2 hours, 44 minutes

System restarted by power-on

System image file is "flash:c800-y6-mw.120-4.T1"

 

Cisco C803 (MPC850) processor (revision 1) with 43588K bytes of virtual memory.

Processor board ID JAD03311189

CPU part number 33

Bridging software.

Basic Rate ISDN software, Version 1.1.

1 Ethernet/IEEE 802.3 interface(s)

1 ISDN Basic Rate interface(s)

4M bytes of physical memory (DRAM)

8K bytes of non-volatile configuration memory

8M bytes of flash on board (4M from flash card)

 

Configuration register is 0x2102

[Cliff 10]

wenn ich nur Dialer1 eingebe gehts auch nicht

mit meiner version siehts auch schlecht aus oder?:

Version 12.0(4)T1

[mr._oiso 10]

Hi Cliff

 

So ist es !

Mit Deiner IOS Version klappt dass so nicht !

Ich werde gleich nochmal schauen was wir da machen können.

Alternativ solltest Du aber mal nach einer neuen Version

schauen.

 

MfG

 

Mr. Oiso

[Cliff 10]

ich denke am leichtesten wird es sein nach ner neuen version zu suchen.

werde mich sofort mal auf die suche machen.