xDSL.at

[tschi]

Hallo

habe hier einen Cisco Router der TA Austria. Leider habe ich intern probleme mit dem Portforwarding.

nach durchsicht der cisco config (siehe unten) ist mir aufgefallen, dass der loopback1 die öffentliche ip zugewiesen hat. Soll das so sein?

habe diese config auch schon mit einigen in dem forum verglichen, leider hat kein beispiel eine fixe externe IP.


Was mein Router können muss:

fixe externe IP
NAT
Portforwarding
... und nichts mehr


Was er derzeit nicht kann:

wenn sich ein interner client auf 10.0.0.140:443 verbindet, so funktioniert das auch.

wenn sich ein interner client auf 80.xxx.xxx.xxx:443 verbindet, so bekomme ich einen timeout (Paket wird vom Router verschmissen und nicht an 10.0.0.140 weitergeleitet)


BITTE UM HILFE


version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret <removed>
enable password <removed>
!
no aaa new-model
!
resource policy
!
ip subnet-zero
no ip dhcp use vrf connected
!
ip dhcp pool test
network 10.0.0.0 255.255.255.0
default-router 10.0.0.138
dns-server 213.33.99.70 80.120.17.70
!
!
no ip cef
no ip domain lookup
!
no crypto isakmp enable
!
interface Loopback1
ip address 80.xxx.xxx.xxx 255.255.255.252
!
interface Ethernet0
ip address 10.0.0.138 255.255.255.0
ip nat inside
no ip virtual-reassembly
no cdp enable
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
no cdp enable
!
interface ATM0
description - ADSL Verbindung
no ip address
load-interval 30
no atm ilmi-keepalive
dsl operating-mode auto
pvc 0/16 ilmi
!
!
interface ATM0.864 point-to-point
pvc 8/64
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip nat outside
no ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname <removed>
ppp chap password <removed>
!
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface Loopback1 overload
ip nat inside source static tcp 10.0.0.140 25 interface Loopback1 25
ip nat inside source static tcp 10.0.0.140 993 interface Loopback1 993
ip nat inside source static tcp 10.0.0.140 80 interface Loopback1 80
ip nat inside source static tcp 10.0.0.140 443 interface Loopback1 443
ip nat inside source static tcp 10.0.0.140 3389 interface Loopback1 3389
!
access-list 1 permit 10.0.0.0 0.0.0.255
dialer-list 1 protocol ip permit
snmp-server community public RO
snmp-server enable traps tty
no cdp run
!
control-plane
!
!
line con 0
no modem enable
transport output all
line aux 0
line vty 0 4
password <removed>
login
transport input all
transport output all
!
scheduler max-task-time 5000
!
end

[jutta]

> wenn sich ein interner client auf 80.xxx.xxx.xxx:443 verbindet, so bekomme ich einen timeout (Paket wird vom Router verschmissen und nicht an 10.0.0.140 weitergeleitet)

ich kapier nicht ganz, warum sich ein interner client auf die externe ip verbinden soll. vieleicht willst du in wirklichkeit was ganz anderes, aber was?

[diskette]

habe diese config auch schon mit einigen in dem forum verglichen, leider hat kein beispiel eine fixe externe IP.

TA Biz ist nicht für selbstwartung gedacht. --> normal auch gesperrt
Bei Problemen genügt ein Anruf bei der Hotlne und es wird erledigt.
Auch das Port durchschalten.

[tschi]

ich möchte intern und extern über webmail.domainname.at auf den server gelangen


-> von extern funktioniert das

-> von intern ist er so nicht ansprechbar (dns wird richtig aufgelöst)

[diskette]

host datei
10.0.0.1 webmail.domainname.at

[tschi]

an das habe ich auch schon gedacht, nur wäre das eine umgehungslösung:


1.) ich müsste alle domains eintragen (wäre nicht so schlimm)
2.) wenn auf dem cisco ein portmapping gemacht wird, so funktioniert es wieder nur extern (zB Router leitet alle anfragen von port 80 auf port 8080 um). somit müsste ich intern immer die portnummer angeben


müsste in meiner config nicht das dialer 0 interface die externe ip zugeteilt bekommen?

könnte das so gehen?


interface dialer 0
ip address [externe IP] [subnetmask]
exit

ip nat inside source list 1 interface dialer 0 overload

ip route 0.0.0.0 0.0.0.0 [externe IP]

[diskette]

müsste in meiner config nicht das dialer 0 interface die externe ip zugeteilt bekommen?

Bei den biz Produkte wird das off 4erNetz geroutet
die Anbindungsadress (172) wird dir nach der auth zugeteilt --> dies sollte aber nicht die ursprungsadresse sein da priv IP:

deshalb der workaround in der konf. (Loopback)

[tschi]

wenn ich das richtig verstanden habe, gibt es aufgrund des zwischennetztes keine andere konf möglichkeit?


nachtrag: habe ich somit 2 öffentliche IPs ?

[diskette]

@2 off IP`s --> ja
1. Netz
2.freie IP
3.nat IP
4. BC

--> wird wegen der beiden konf-möglichkeiten so gelöst ( nat und routing)

[wicked_one]

<ot>Ich hoffe nur, das du nie Support brauchst...</ot>

[tschi]

support von TA? darauf kann ich gern verzichten!


hab den router nun auch die 2-te ip zugewiesen -> läuft prima

die sache mit dem internen routing werde ich als workaround mit DNS-Zonen lösen.


danke fü die hilfe

[ANOther]

stimmt...
da wär das port-ding schon gelöst, und du müsstest arbeiten...

[zid]

tschi>"...ich möchte intern und extern über webmail.domainname.at auf den server gelangen..."
das ding, das du da haben willst, nennt sich nat-loopback. hab' das bei ciscos noch nie versucht, der unterhaltungswert dürfte aber hoch sein

[wicked_one]

support von TA? darauf kann ich gern verzichten!

Bin ich gespannt ob du das auch noch sagst wenn deine Leitung gekappt wurde

Und ich bin gespannt was die TA zu der Konfig sagt wenn sie ihren Router wiederhaben will

btw - du hast in den LB deines Business Zuganges (korrigiere mich, sollte es ein anderer sein) zugestimmt, ein von der TA zur verfügung gestelltes, per passwort geschütztes und _nur_ von der TA fernwartbares Endgerät auf deiner Leitung zu haben.

nur für den fall, das ein Technikerbesuch wirklich notwendig wird, könnte auf der folgenden Rechnung sonst zu bösen Überraschungen kommen...

[harry25]

Hallo Leute,

wie kann ich das Passwort von dem Modem rausfinden?

Harry