bytepool
Code Monkey
Hi,
mir ist bewusst dass Cisco IOS hier ein bisschen Off-Topic ist, aber ich dachte mir, vielleicht gibt es ja doch den ein oder anderen Netzwerk Admin hier, der sich damit ein bisschen auskennt.
Man sollte eventuell auch noch wissen, dass ich mich selber mit IOS nur sehr begrenzt auskenne, und urspruenglich auch nicht aus der Netzwerk Ecke komme. Ich vermute deshalb eigentlich, dass das Problem trivial loesbar ist, und ich einfach irgendwo einen kleinen Denkfehler habe.
Die IPs und Ports sind frei erfunden. Jegliche Aehnlichkeit mit lebenden oder realen IP Adressen waeren rein zufaellig.
Nehmen wir an, meine externe IP ist 172.1.1.10, und mein lokales Netz ist 192.168.1.0/24. Die interne IP vom Cisco Router ist 192.168.1.1.
Nehmen wir weiter an, ich moechte externen Port 3000 nach 192.168.1.13:30 mappen.
Also die NAT config auf dem Router (interface BVI 1 haengt via DSL im Internet):
Solange ich von extern verbinde, funktioniert das wunderbar: Eine Verbindung von extern nach 172.1.1.10:3000 wird wie gewuenscht nach 192.168.1.13:30 weitergeleitet.
Das Problem:
Die Verbindung wird nicht zugelassen, wenn ich vom lokalen Netz aus versuche nach 172.1.1.10:3000 zu verbinden: "Connection refused".
Eine Vermutung von mir war, dass ich auch 192.168.1.1:3000, also die interne Adresse vom Router, nach 192.168.1.13:30 mappen muss. Aber die Verbindung wird trotzdem abgewiesen.
Evtl. relevante routing Eintraege:
Falsche Einstellungen der access-lists waeren natuerlich naheliegend, aber die vorhandenen access-lists sollten eigentlich kein Problem sein. Die werde ich aber, wie ihr hoffentlich verstehen koennt, nicht posten.
"#show access-lists" sollte mir doch alle relevanten access-lists anzeigen, oder? Oder koennen die sich irgendwie verstecken?
Welche Infos fehlen eventuell noch? Was habe ich vergessen, oder wo liegt mein Denkfehler?
Edit:
Noch ein paar Auszuege aus der running-config:
mfg,
bytepool
mir ist bewusst dass Cisco IOS hier ein bisschen Off-Topic ist, aber ich dachte mir, vielleicht gibt es ja doch den ein oder anderen Netzwerk Admin hier, der sich damit ein bisschen auskennt.
Man sollte eventuell auch noch wissen, dass ich mich selber mit IOS nur sehr begrenzt auskenne, und urspruenglich auch nicht aus der Netzwerk Ecke komme. Ich vermute deshalb eigentlich, dass das Problem trivial loesbar ist, und ich einfach irgendwo einen kleinen Denkfehler habe.
Die IPs und Ports sind frei erfunden. Jegliche Aehnlichkeit mit lebenden oder realen IP Adressen waeren rein zufaellig.
Nehmen wir an, meine externe IP ist 172.1.1.10, und mein lokales Netz ist 192.168.1.0/24. Die interne IP vom Cisco Router ist 192.168.1.1.
Nehmen wir weiter an, ich moechte externen Port 3000 nach 192.168.1.13:30 mappen.
Also die NAT config auf dem Router (interface BVI 1 haengt via DSL im Internet):
Code:
(config)# ip nat inside source static tcp 192.168.1.13 30 interface BVI 1 3000
# show ip nat translations
Pro Inside global Inside local Outside local Outside global
tcp 172.1.1.10:3000 192.168.1.13:30 --- ---
Solange ich von extern verbinde, funktioniert das wunderbar: Eine Verbindung von extern nach 172.1.1.10:3000 wird wie gewuenscht nach 192.168.1.13:30 weitergeleitet.
Das Problem:
Die Verbindung wird nicht zugelassen, wenn ich vom lokalen Netz aus versuche nach 172.1.1.10:3000 zu verbinden: "Connection refused".
Eine Vermutung von mir war, dass ich auch 192.168.1.1:3000, also die interne Adresse vom Router, nach 192.168.1.13:30 mappen muss. Aber die Verbindung wird trotzdem abgewiesen.
Evtl. relevante routing Eintraege:
Code:
# show ip route
C 172.1.1.0/24 is directly connected, BVI1
C 192.168.1.0/24 is directly connected, FastEthernet1/0
S* 0.0.0.0/0 [1/0] via 172.1.1.1
Falsche Einstellungen der access-lists waeren natuerlich naheliegend, aber die vorhandenen access-lists sollten eigentlich kein Problem sein. Die werde ich aber, wie ihr hoffentlich verstehen koennt, nicht posten.
"#show access-lists" sollte mir doch alle relevanten access-lists anzeigen, oder? Oder koennen die sich irgendwie verstecken?
Welche Infos fehlen eventuell noch? Was habe ich vergessen, oder wo liegt mein Denkfehler?
Edit:
Noch ein paar Auszuege aus der running-config:
Code:
interface FastEthernet1/0
ip nat inside
[...]
interface BVI1
ip nat outside
[...]
ip nat inside source list 1 interface BVI1 overload
mfg,
bytepool
Zuletzt bearbeitet: