und könnte mir die Config posten?
bei mir klappt das nicht so richtig ...
TV geht :-)
Internet geht :-)
Web Server nicht erreichbar :-(
und wenn ich die Access List aufreisse klappt es auch nicht :-(
Cisco ist ein 866 VAE
edit: vergiss, dachte tv geht nicht... sollte mal ordentlich lesen :-)
Welcher webserver ist von wo aus nicht zu erreichen?
der interne ist von aussen nicht zu erreichen (mail und co auch)
ip nat inside source static tcp 192.168.99.41 80 interface Dialer0 80
access-list 111 permit tcp any eq www any
und auf dem Dialer0 noch
ip access-group 111 in
Mal so aus Kopf die wichtigesten Eckdaten für PAT:
interface vlanX !das interne Inetrface
ip nat inside
!
interface DialerX !das externe dialer interface
ip nat outside
!
ip nat inside source list 10 interface DialerX overload !overload wegen PAT
ip nat inside source static tcp 10.0.0.X 80 interface DialerX 80 !eingehendes NAT für Port 80
!
access-list 10 permit 10.0.0.0 0.255.255.255 !wildcard mask
!
list 10 ist die standard access list auf die gematched wird, also dein internes Netz. Sollte aber wohl auch mit source und dest funktionieren.
Die Syntax kann sich je nach IOS Version etwas unterscheiden, aber grob sollte es das sein.
Edit: Ups, ich hab dir gerade die Konfig für das aus gehende NAT geschickt, das schon funktioniert... Du wolltest ja einen internen Server erreichen.
Edit2: Hab das statische NAT für die eingehende Verbindung ergänzt. Das entspricht eigentlich schon deiner Konfig.
Ich kenne es von NAT Konfigurationen, das es schon mal vorkommt, dass ein reload notwendig wird, zwar eher auf ASAs aber schaden kann es nicht.
Sonst Debuggen mit "sh ip nat translations" etc... Am besten beim einrichten keine access list auf den Dialer, die würde ich erst einrichten, wenn das NAT tut.
/Uli
Danke für die Hilfe :-)
Mein Problem liegt Gedanklich an den blöden Telekom konstrukt :-)
Dialer0 mach PPP um eine IP zu bekommen (Standard - kein Thema :-) )
Dann kommt das Entertain mit ins Spiel :-)
Ethernet0.7 sollen alle Daten rein (bekommt aktuel keine IP kann aber trotzdem surfen)
Ethernet0.8 ist für Multicast zum TV schauen da und bekommt die IP via DHCP
EGMP leitet alle MCast Pakete in 8er VLAn weiter
Wie bekomme ich eine IP auf VLan 7?
setzte ich jetzt eine access-list, dann steht am Ende ja immer impliziet ein deny ip any any
Das Entertain Konstrukt kenne ich auch nicht.
Wenn Du magst, dann könnte ich mal über die config schauen, vielleicht fällt mir etwas auf.
Hier meine "bereinigte" Config :-) mit allem drum und dran :-)
Cisco 866 nicht 886
Folgende Probleme zur Zeit:
gelegentlich Freezes vom TV Bild (nicht von mir lokalisiert), geht aber nach kurzer Zeit von alleine Weiter
wenn eine Access List den Traffic sperrt, dann hängt ganz kurz das Bild < 1 Sekunde
Port Weiterleitung auf internen Server
und hier die gesammelten Werke im Anhang
Schon vorab schon einmal ein Danke :-)
Ralf
Anhang ist Unix Format
Zitat von: Wuppi68 am 19 Oktober 2015, 22:20:06
gelegentlich Freezes vom TV Bild (nicht von mir lokalisiert), geht aber nach kurzer Zeit von alleine Weiter
wenn eine Access List den Traffic sperrt, dann hängt ganz kurz das Bild < 1 Sekunde
Aus meiner Sicht ist die config OK. Ich hatte schon die Vermutung, dass der Provider ggf. eingehende Pakete filtert, aber das kann auch nicht sein, da auf der access-list 111 eingehender Traffic zu sehen ist. Damit scheidet auch die access list als Fehlerquelle aus, zumal sie ja zur Zeit kein deny any am Ende hat. Schon mal ne neue/andere IOS Version getestet? Vorgeschlagen wird von Cisco zur Zeit 15.3.3M6 oder 15.4.3M4. Unwahrscheinlich, aber möglich...
Zu den gelegentlichen Freezes habe ich auch keine Idee, zu mal ich genau dieses Modell schon ohne Probleme bei einem Kunden in kleinen Außenlokationen incl VoIP eingestezt habe, da wären kurze Aussetzer sofort aufgefallen. Logging ging allerdings auf einen zentralen syslog und nicht ins flash. Du könntest mal die CPU Auslastung im Blick behalten (sh processes cpu).
Man könnte noch über ip inspect rules nachdenken, aber das hat mit dem Problem nix zu tun.
/Uli