Gumbo 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Hallo alle miteinander, ich hoffe eine von euch kann mir bei meinem "kleinen" Problem helfen. Ich habe eine Cisco 1741 in der Arbeit im Einsatz. Dieser hat 3 Dialer Interfaces und sie laufen einwandfrei. Ich habe aber ein Problem mit einem Dialerinterface. Wenn die ISDN Verbindung aufgebaut ist und ich auf der Gegenstelle ein Trace bzw. Ping starte, dann kommt als antwort mein privates Netz, anstatt der angepingten Ip-Addresse. Zum Beispiel: Antwort von (10.10.0.0) <- ??? Das ist eigentlich kein Problem, aber wenn es zu SSH und RDP Verbindungen kommt, dann laufe ich vor einer Wand. Sprich, Ciso wählt sich auf der gegenstelle ein, Probleme mit RDP und SSH und allen anderen Protokollen. Gegenstelle wählt sich auf Cisco ein, RDP und SSH und anderes funktioniert. Ich hoffe Ihr könnt mir da helfen. MfG, --Stefan F. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Ich komm nicht ganz mit, du meinst also, Verbindung von intern (hinter der Cisco) gehen nicht raus (RDP), aber ein Connect von aussen auf die Cisco, wird korrekt nach innen weitergereicht? Zitieren Link zu diesem Kommentar
Gumbo 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Ich komm nicht ganz mit, du meinst also, Verbindung von intern (hinter der Cisco) gehen nicht raus (RDP), aber ein Connect von aussen auf die Cisco, wird korrekt nach innen weitergereicht? Das ist korrekt. Hier ein Schemata: 1) Verbindungsaufbau (InternLab -> Cisco -> ExternRouter -> ExternLab) - ExternLab versucht RDP, SSH, etc. - geht nicht! 2) Verbindungsaufbau (ExternLab -> ExternRouter -> Cisco -> InternLab) - ExternLab versucht RDP, SSH, etc. - geht! Das Problem liegt an der Cisco denke ich mal, da ich bei 1) das InternLab Netz als antwork bekomme (ExternLab macht Ping, es kommt 10.10.0.0 als antwort zurück). Wobei bei 2) bei einem Ping die Ip-Adresse (z.B.: 10.10.0.100) zurück kommt. Hoffe das ist etwas mehr verständlich. MfG, --Stefan F. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Wenn du jetzt noch die Konfiguration postest sollte es nicht mehr so schwer sein die Loesung zu finden :) Zitieren Link zu diesem Kommentar
Gumbo 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Wenn du jetzt noch die Konfiguration postest sollte es nicht mehr so schwer sein die Loesung zu finden :) Ups, sorry da kommt Sie ... PS: wobei Dialer103 das Problemkind ist. ----- SNIP ----- ! ! interface FastEthernet0/0 description $ETH-LAN$ ip address 10.10.254.3 255.255.0.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside no ip route-cache cef no ip route-cache duplex auto speed auto no cdp enable ! interface FastEthernet0/1 description $TELEKOM$ no ip address duplex auto speed auto pppoe enable pppoe-client dial-pool-number 1 no keepalive no cdp enable ! interface BRI0/0/0 ip address negotiated encapsulation ppp dialer pool-member 2 isdn switch-type basic-net3 isdn point-to-point-setup no cdp enable ! interface BRI0/1/0 ip address negotiated encapsulation ppp dialer pool-member 3 isdn switch-type basic-net3 isdn point-to-point-setup no cdp enable ! interface Dialer1 description DSL - Telekom ip ddns update hostname xxxxxxxxxx ip ddns update dyndns ip address negotiated ip mtu 1492 ip nat outside encapsulation ppp ip tcp adjust-mss 1452 no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username xxxxxxxxxx password 7 xxxxxxxxxx ppp ipcp dns request ! interface Dialer101 description ISDN - Altenburg ip address negotiated ip nat outside encapsulation ppp dialer pool 2 dialer idle-timeout 60 dialer string xxxxxxxxxx dialer-group 2 no keepalive no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxx ppp chap password 7 xxxxxxxxxx ! interface Dialer102 description ISDN - Kulmbach ip address negotiated ip nat outside encapsulation ppp dialer pool 3 dialer idle-timeout 60 dialer string xxxxxxxxxx dialer caller xxxxxxxxxx callback dialer hold-queue 10 dialer-group 3 no peer default ip address no keepalive no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxx ppp chap password 7 xxxxxxxxxx ! interface Dialer103 description ISDN - Stadtroda ip address negotiated ip nat outside encapsulation ppp dialer pool 3 dialer idle-timeout 30 dialer enable-timeout 4 dialer string xxxxxxxxxx dialer-group 3 no keepalive no cdp enable ppp authentication chap callin ppp chap hostname xxxxxxxxxx ppp chap password 7 xxxxxxxxxx ! ip classless ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.10.0.0 255.255.0.0 10.10.1.1 ip route 10.200.10.0 255.255.255.0 Dialer103 ip route 10.200.10.0 255.255.255.0 10.200.10.2 ip route 192.168.61.0 255.255.255.0 Dialer102 ip route 193.13.23.0 255.255.255.0 Dialer101 ! ip http server ip http authentication local ip nat inside source route-map isdn-altenburg interface Dialer101 overload ip nat inside source route-map isdn-stadtroda interface Dialer103 overload ip nat inside source static tcp 10.10.30.1 5558 interface Dialer102 5558 ip nat inside source route-map isdn-kulmbach interface Dialer102 overload ip nat inside source route-map tcom interface Dialer1 overload ! access-list 1 permit any access-list 2 permit any access-list 3 permit any dialer-list 1 protocol ip permit dialer-list 2 protocol ip permit dialer-list 3 protocol ip permit no cdp run route-map tcom permit 10 match ip address 1 match interface Dialer1 ! route-map isdn-kulmbach permit 10 match ip address 2 match interface Dialer102 ! route-map isdn-altenburg permit 10 match ip address 1 match interface Dialer101 ! route-map isdn-stadtroda permit 10 match ip address 3 match interface Dialer103 ! ! ----- SNIP ---- Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Was macht die Route da? ip route 10.200.10.0 255.255.255.0 10.200.10.2 Sieht sonst ja recht anstaendig aus ... (das is der Router vom internen Lab?) Zitieren Link zu diesem Kommentar
Gumbo 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Was macht die Route da? ip route 10.200.10.0 255.255.255.0 10.200.10.2 Sieht sonst ja recht anstaendig aus ... (das is der Router vom internen Lab?) hallo, diese Route war ein Test. Ist wieder gelöscht. Und ja der Router ist von internen Lab. Ip Vergabe ist: InternLab (10.10.0.0/16) <-> Cisco (10.10.254.3) <-> LancomISDN Router (10.200.10.2) <-> ExternLab (10.200.10.0/24) Zitieren Link zu diesem Kommentar
maho 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 VonExtern kannst Du nicht Intern zugreifen, weil Du "PAT" konfiguriert hast. z.B. Du kommst von 10.10.0.10 und willst nach 10.200.10.55. Dann nattet der Cisco die 10.10.0.10 um in die IP-Adresse des Dialer103, somit greift die IP-Adresse des DIaler103 auf die Ziel-IP 10.200.10.55. Das sollte keine Problem sein. Aber wenn Du jetzt von 10.200.10.55 auf die 10.10.0.10 zugreifen willst, wird das nicht gehen, weil ja NAT konfiguriert ist und Du eigentlich auf die IP-Adresse des Dialer103 zugreifen musst und er diese dann wiederum zum 10.10.0.10 weiterleiten muss. Die NAT-Konfiguration von Dir ist nur rausgehende Verbindungen ausgelegt. Entweder konfigurierst Du das NAT anders oder konfigurierst Portweiterleitungen. Ich hoffe, ich habe Dein Problem richtig verstanden... Zitieren Link zu diesem Kommentar
Gumbo 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 VonExtern kannst Du nicht Intern zugreifen, weil Du "PAT" konfiguriert hast. z.B. Du kommst von 10.10.0.10 und willst nach 10.200.10.55. Dann nattet der Cisco die 10.10.0.10 um in die IP-Adresse des Dialer103, somit greift die IP-Adresse des DIaler103 auf die Ziel-IP 10.200.10.55. Das sollte keine Problem sein. Aber wenn Du jetzt von 10.200.10.55 auf die 10.10.0.10 zugreifen willst, wird das nicht gehen, weil ja NAT konfiguriert ist und Du eigentlich auf die IP-Adresse des Dialer103 zugreifen musst und er diese dann wiederum zum 10.10.0.10 weiterleiten muss. Die NAT-Konfiguration von Dir ist nur rausgehende Verbindungen ausgelegt. Entweder konfigurierst Du das NAT anders oder konfigurierst Portweiterleitungen. Ich hoffe, ich habe Dein Problem richtig verstanden... Hallo, Portforwarding wird für mich ein problem, da ich auf versch. Rechner im 10.10.0.0/16 Netz zugreifen will. Das wird eine "never ending story" =) . Nat Inside und at outside kann ich ja nicht auf einen Dialer binden, oder doch? Wenn ja dann müsste ich 2 Dialer Profile anlegen oder? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Also ich verstehs auch nicht ganz. Ein Paket von Labextern geht an die IP von Cisco Labintern und der leitet sie richtig weiter obwohl das fuer Dialer103 garnicht konfiguriert ist? Und das andere was gehen sollte (weils fuer Dialer 102 ja auch geht) funktioniert dann doch nicht. Bist du sicher das es nicht andersrum ist? Irgendwie sind auch die Routemaps fuern *****, wenn die ACL darin immer any any ist. Zitieren Link zu diesem Kommentar
Gumbo 10 Geschrieben 1. Juni 2006 Autor Melden Teilen Geschrieben 1. Juni 2006 Also ich verstehs auch nicht ganz. Ein Paket von Labextern geht an die IP von Cisco Labintern und der leitet sie richtig weiter obwohl das fuer Dialer103 garnicht konfiguriert ist? Und das andere was gehen sollte (weils fuer Dialer 102 ja auch geht) funktioniert dann doch nicht. Bist du sicher das es nicht andersrum ist? Irgendwie sind auch die Routemaps fuern *****, wenn die ACL darin immer any any ist. Hallo, zuerstmal wegen den ACL's... . Ich weis das die maps so ziehmlich nutzlos sind (derzeit!). Ich habe zum Verständniss und zur besseren Kontrolle diese komplett offen gelegt um ein Access problem auszuschliessen. Soviel dazu. Desweiteren ist zu sagen, das alle anderen 2 Dialer auch sehr gut funktionieren, da ich immer die Verbindung mit der Cisco aufbaue. Wir haben derzeit 3 Exteren Labore, wobei die Cisco alle 3 anwählt (Kostengründen, etc., etc.). Wir haben nun das erstmalige Fänomän, das das Labor auf Dialer103 sich nun auch bei uns einwählen kann und ins interen Netz gelangen muss. Hier nochmal ein ersichtliches Beispiel (Ausübung von "ping") [1] LabIntern hat sicheingewählt zu LabExtern. PING 10.10.0.100: 56 data bytes 64 bytes from xxxx (10.10.0.0): icmp_seq=3. time=46. ms 64 bytes from xxxx (10.10.0.0): icmp_seq=4. time=49. ms 64 bytes from xxxx (10.10.0.0): icmp_seq=5. time=50. ms [2] LabExtern hat sich eingewählt zu LabIntern. PING 10.10.0.100: 56 data bytes 64 bytes from xxxx (10.10.0.100): icmp_seq=3. time=44. ms 64 bytes from xxxx (10.10.0.100): icmp_seq=4. time=45. ms 64 bytes from xxxx (10.10.0.100): icmp_seq=5. time=43. ms Ich hoffe das ist nun etwas klarer. Eine Lösung wäre wie erwähnt ein Portforward, was aber absolut nicht akzeptabel ist. MfG, --Stefan F. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Weil das Rueckpaket ueber einen anderen Dialer im Labextern geht und die Leitung besetzt ist? Nur mal so geraten ... Zitieren Link zu diesem Kommentar
starfoxx 10 Geschrieben 1. Juni 2006 Melden Teilen Geschrieben 1. Juni 2006 Hi, stimmt denn bei deinem Dialer103 das dialer pool 3 ?? greetz starfoxx Zitieren Link zu diesem Kommentar
heiko2 10 Geschrieben 22. Juni 2006 Melden Teilen Geschrieben 22. Juni 2006 Das Problem besteht einzig und allein auf grund des aktiven NAT. Da Du alles mit RFC-Adressen arbeitest kannst Du die ISDN-Interfaces einfach auf nat-inside setzen und die nat-config für diese löschen. Dann tut's ... Heiko2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.