Cisco 1812 - Port Weiterleitung (SDM?)

Dieses Thema im Forum "Cisco" wurde erstellt von Beowulf, 19. August 2010.

  1. Beowulf

    Beowulf Gelegenheits-User

    Registriert seit:
    19. August 2010
    Beiträge:
    10
    Punkte für Erfolge:
    1
    Hallo @ll,

    bis jetzt lese ich immer nur fleißig mit. Aber leider komme ich nicht weiter :(

    Habe nen Cisco 1812 hier stehen.
    Auf diesem ist ein TDSL Business Zugang mit statischer IP. (FastEthernet 0, Dialer0)
    Intern werden 2 VLANs gefahren:
    192.168.99.0 (VLAN 1, FastEthernet2)
    192.168.98.0 (VLAN 2, FastEthernet3)

    Zusätzlich wird eine VPN Verbindung aufgebaut. Auf der Gegenseite ist das Netzwerk:
    192.168.100.0

    Das funktioniert auch alles wunderbar :)
    Die Konfiguration habe ich über das SDM gemacht. Bitte nicht gleich steinigen, aber es funktioniert ja fast alles ^^

    Jetzt möchte ich gerne den Port 21 via TCP auf den Host 192.168.99.236 umleiten.
    Ich habe also im NAT einen statischen Eintrag angelegt: Inside to outside
    Außerdem in den Firewallsettings eine neue Regel unter in-zone to out-zone angelegt.

    Funktionieren tut diese Weiterletiung aber nicht.
    Gestestet habe ich von einer anderen Internetverbindung.

    Hier meine running config:
    Code:
    !version 12.4
    service timestamps debug datetime msec
    service timestamps log datetime msec
    no service password-encryption
    !
    hostname Router
    !
    boot-start-marker
    boot-end-marker
    !
    logging message-counter syslog
    logging buffered 51200 warnings
    !
    no aaa new-model
    !
    crypto pki trustpoint TP-self-signed-407389489
     enrollment selfsigned
     subject-name cn=IOS-Self-Signed-Certificate-407389489
     revocation-check none
     rsakeypair TP-self-signed-407389489
    !
    !
    crypto pki certificate chain TP-self-signed-407389489
     certificate self-signed 01
      3082023C 308201A5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
      	quit
    dot11 syslog
    ip source-route
    !
    !
    !
    !
    ip cef
    ip name-server 8.8.8.8
    ip name-server 8.8.4.4
    no ipv6 cef
    !
    multilink bundle-name authenticated
    !
    !
    !
    username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx
    ! 
    !
    crypto isakmp policy 1
     encr 3des
     authentication pre-share
     group 2
    crypto isakmp key keyyyyy address ziel IP
    !
    !
    crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
    crypto ipsec transform-set ESP-AES256-MD5 esp-aes 256 esp-md5-hmac 
    !
    crypto map SDM_CMAP_1 1 ipsec-isakmp 
     description Tunnel to VPN Ziel
     set peer Ziel IP
     set transform-set ESP-3DES-SHA 
     match address 102
    !
    archive
     log config
      hidekeys
    !
    !
    !
    class-map type inspect match-all sdm-cls-VPNOutsideToInside-1
     match access-group 104
    class-map type inspect match-any SDM_HTTPS
     match access-group name SDM_HTTPS
    class-map type inspect match-any SDM_SSH
     match access-group name SDM_SSH
    class-map type inspect match-any SDM_SHELL
     match access-group name SDM_SHELL
    class-map type inspect match-any sdm-cls-access
     match class-map SDM_HTTPS
     match class-map SDM_SSH
     match class-map SDM_SHELL
    class-map type inspect match-all sdm-cls-VPNOutsideToInside-3
     match access-group 107
    class-map type inspect match-all sdm-cls-VPNOutsideToInside-2
     match access-group 106
    class-map type inspect match-any SDM_AH
     match access-group name SDM_AH
    class-map type inspect match-any sdm-cls-insp-traffic
     match protocol cuseeme
     match protocol dns
     match protocol ftp
     match protocol h323
     match protocol https
     match protocol icmp
     match protocol imap
     match protocol pop3
     match protocol netshow
     match protocol shell
     match protocol realmedia
     match protocol rtsp
     match protocol smtp extended
     match protocol sql-net
     match protocol streamworks
     match protocol tftp
     match protocol vdolive
     match protocol tcp
     match protocol udp
    class-map type inspect match-all sdm-insp-traffic
     match class-map sdm-cls-insp-traffic
    class-map type inspect match-any SDM_ESP
     match access-group name SDM_ESP
    class-map type inspect match-any SDM_VPN_TRAFFIC
     match protocol isakmp
     match protocol ipsec-msft
     match class-map SDM_AH
     match class-map SDM_ESP
    class-map type inspect match-all SDM_VPN_PT
     match access-group 103
     match class-map SDM_VPN_TRAFFIC
    class-map type inspect match-any SDM-Voice-permit
     match protocol h323
     match protocol skinny
     match protocol sip
    class-map type inspect match-any sdm-cls-icmp-access
     match protocol icmp
     match protocol tcp
     match protocol udp
    class-map type inspect match-any FTP
     match protocol ftp
    class-map type inspect match-all sdm-cls-sdm-inspect-1
     match class-map FTP
     match access-group name WebServer
    class-map type inspect match-all sdm-access
     match class-map sdm-cls-access
     match access-group 101
    class-map type inspect match-all sdm-icmp-access
     match class-map sdm-cls-icmp-access
    class-map type inspect match-all sdm-invalid-src
     match access-group 100
    class-map type inspect match-all sdm-protocol-http
     match protocol http
    !
    !
    policy-map type inspect sdm-permit-icmpreply
     class type inspect sdm-icmp-access
     class class-default
      pass
    policy-map type inspect sdm-pol-VPNOutsideToInside-1
     class type inspect sdm-cls-VPNOutsideToInside-1
      inspect 
     class type inspect sdm-cls-VPNOutsideToInside-2
      pass
     class type inspect sdm-cls-VPNOutsideToInside-3
      pass
     class class-default
      drop
    policy-map type inspect sdm-inspect
     class type inspect sdm-invalid-src
      drop log
     class type inspect sdm-insp-traffic
      inspect 
     class type inspect sdm-protocol-http
      inspect 
     class type inspect SDM-Voice-permit
      inspect 
     class type inspect sdm-cls-sdm-inspect-1
      pass
     class class-default
      pass
    policy-map type inspect sdm-permit
     class type inspect SDM_VPN_PT
      pass
     class type inspect sdm-access
     class class-default
      drop
    !
    zone security out-zone
    zone security in-zone
    zone-pair security sdm-zp-self-out source self destination out-zone
     service-policy type inspect sdm-permit-icmpreply
    zone-pair security sdm-zp-out-self source out-zone destination self
     service-policy type inspect sdm-permit
    zone-pair security sdm-zp-in-out source in-zone destination out-zone
     service-policy type inspect sdm-inspect
    zone-pair security sdm-zp-VPNOutsideToInside-1 source out-zone destination in-zone
     service-policy type inspect sdm-pol-VPNOutsideToInside-1
    !
    !
    !
    interface FastEthernet0
     description $ETH-WAN$
     no ip address
     duplex auto
     speed auto
     pppoe enable group global
     pppoe-client dial-pool-number 1
    !
    interface FastEthernet1
     no ip address
     shutdown
     duplex auto
     speed auto
    !
    interface BRI0
     no ip address
     encapsulation hdlc
     shutdown
    !
    interface FastEthernet2
    !
    interface FastEthernet3
     switchport access vlan 2
    !
    interface FastEthernet4
    !
    interface FastEthernet5
    !
    interface FastEthernet6
    !
    interface FastEthernet7
    !
    interface FastEthernet8
    !
    interface FastEthernet9
    !
    interface Vlan1
     description $FW_INSIDE$
     ip address 192.168.99.2 255.255.255.0
     ip nat inside
     ip virtual-reassembly
     zone-member security in-zone
     ip tcp adjust-mss 1412
    !
    interface Vlan2
     ip address 192.168.98.1 255.255.255.0
     ip nat inside
     ip virtual-reassembly
     zone-member security in-zone
    !
    interface Dialer0
     description $FW_OUTSIDE$
     ip address negotiated
     ip mtu 1452
     ip nat outside
     ip virtual-reassembly
     zone-member security out-zone
     encapsulation ppp
     dialer pool 1
     dialer-group 1
     ppp authentication chap pap callin
     ppp chap hostname zugang
     ppp chap password 0 elyoxdijqkvT
     ppp pap sent-username zugangs password 0 password
     crypto map SDM_CMAP_1
    !
    ip forward-protocol nd
    ip route 0.0.0.0 0.0.0.0 Dialer0 permanent
    ip http server
    ip http authentication local
    ip http secure-server
    ip http timeout-policy idle 600 life 86400 requests 10000
    !
    !
    ip nat inside source static tcp 192.168.99.237 21 interface Dialer0 21
    ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
    !
    ip access-list extended SDM_AH
     remark SDM_ACL Category=1
     permit ahp any any
    ip access-list extended SDM_ESP
     remark SDM_ACL Category=1
     permit esp any any
    ip access-list extended SDM_HTTPS
     remark SDM_ACL Category=1
     permit tcp any any eq 443
    ip access-list extended SDM_SHELL
     remark SDM_ACL Category=1
     permit tcp any any eq cmd
    ip access-list extended SDM_SSH
     remark SDM_ACL Category=1
     permit tcp any any eq 22
    ip access-list extended WebServer
     remark SDM_ACL Category=128
     permit ip any any
    !
    logging trap debugging
    logging 192.168.99.4
    access-list 1 remark SDM_ACL Category=2
    access-list 1 permit 192.168.99.0 0.0.0.255
    access-list 100 remark SDM_ACL Category=128
    access-list 100 permit ip host 255.255.255.255 any
    access-list 100 permit ip 127.0.0.0 0.255.255.255 any
    access-list 101 remark SDM_ACL Category=128
    access-list 101 permit ip any any
    access-list 102 remark SDM_ACL Category=4
    access-list 102 remark IPSec Rule
    access-list 102 permit ip 192.168.99.0 0.0.0.255 192.168.100.0 0.0.0.255
    access-list 103 remark SDM_ACL Category=128
    access-list 103 permit ip host 193.158.237.146 any
    access-list 104 remark SDM_ACL Category=0
    access-list 104 remark IPSec Rule
    access-list 104 permit ip 192.168.100.0 0.0.0.255 192.168.99.0 0.0.0.255
    access-list 105 remark SDM_ACL Category=2
    access-list 105 remark IPSec Rule
    access-list 105 deny   ip 192.168.99.0 0.0.0.255 192.168.100.0 0.0.0.255
    access-list 105 permit ip 192.168.99.0 0.0.0.255 any
    access-list 106 remark SDM_ACL Category=0
    access-list 106 remark IPSec Rule
    access-list 106 permit ip 192.168.100.0 0.0.0.255 192.168.99.0 0.0.0.255
    access-list 107 remark SDM_ACL Category=0
    access-list 107 remark IPSec Rule
    access-list 107 permit ip 192.168.100.0 0.0.0.255 192.168.99.0 0.0.0.255
    dialer-list 1 protocol ip permit
    !
    !
    !
    !
    route-map SDM_RMAP_1 permit 1
     match ip address 105
    !
    !
    !
    control-plane
    !
    !
    line con 0
    line aux 0
    line vty 0 4
     privilege level 15
     login local
     transport input telnet ssh
    !
    end
    
    Wo ist mein Fehler?
    Danke!

    Gruß
     
  2. condor07

    condor07 Gelegenheits-User

    Registriert seit:
    30. Oktober 2002
    Beiträge:
    19
    Punkte für Erfolge:
    1
    Hallo Beowolf
    ich gehe mal davon aus das du ftp nutzen möchtest
    dann musst du auch mindestens noch port 20 (ftp-data) auf die selbe weise nat'ten
    aber selbst dann kannst du nur ftp im passiv(ich hoffe es war passiv ich verwechsle immer aktiv/passiv) modus arbeiten. Die inspect rule für ftp scheind richtig zu sein zumindest sieht der logische verlauf korrekt aus.

    Gruss Condor
     
  3. Beowulf

    Beowulf Gelegenheits-User

    Registriert seit:
    19. August 2010
    Beiträge:
    10
    Punkte für Erfolge:
    1
    Danke für Deine schnelle Antwort!
    Richtig, es geht um FTP.
    Meine config sieht jetzt im NAT Bereich so aus:
    Code:
     ip nat inside source static tcp 192.168.99.237 21 interface Dialer0 21 
    ip nat inside source static tcp 192.168.99.237 20 interface Dialer0 20 
    ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload 
    Leider hat es nicht den erhofften Erfolg gebracht :( Macht auch keinen Unterschied ob ich im passiv oder aktiv Modus arbeite.

    Mir ist aufgefallen, ich kann die Öffentliche IP des Routers auch nicht pingen.

    Danke!

    [EDIT]
    Ein einfaches erlauben vom ICMP Protokoll in der "out-zone to self" hat gereicht :)

    Jetzt ist nur noch die Frage, warum wird der Port 21 nicht weitergeleitet,...
     
  4. Beowulf

    Beowulf Gelegenheits-User

    Registriert seit:
    19. August 2010
    Beiträge:
    10
    Punkte für Erfolge:
    1
    Nach ein bisschen googlen habe ich durch andere Cisco User erfahren können, dass Port 20 auch per UDP genattet werden sollte.

    Darum sieht meine NAT Tabelle jetzt so aus:

    Code:
    ip nat inside source static tcp 192.168.99.237 21 interface Dialer0 21
    ip nat inside source static tcp 192.168.99.237 20 interface Dialer0 20
    ip nat inside source static udp 192.168.99.237 20 interface Dialer0 20
    ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload
    
    Für die Firewall habe ich folgende Regel erzeugt:
    Code:
    class-map type inspect match-any FTP
     match protocol ftp
     match protocol ftps
     match protocol user-FTP-DATA-TCP
     match protocol user-FTP-DATA-UDP
    
    Code:
    ip port-map user-FTP-DATA-TCP port tcp 20 description FTP_DATA_TCP
    ip port-map user-FTP-DATA-UDP port udp 20 description FTP_DATA_UDP
    
    Und diese unter sdm-inspect (Inside-to-Outside) hinzugefügt:
    Code:
     class type inspect FTP
      inspect 
    
    EDIT: Nun gehts!

    die FTP Regel musste auch noch für die umgekehrte Richtung (Outside-to-Inside) hinzugefügrt werden, klar sonst kann er nicht antworten :)

    Vielen Dank!

    Wenn gewünscht, poste ich gerne nochmal die komplette config!