Telekom Business Access pro - Cisco Frage (CCNA wanted!)

MANX · 20.04.2007, 14:43

Hi @all!

Folgende Situation in einer Schule:

Die Internetanbindung wurde auf einen "Business Access pro" Zugang der Telekom umgestellt.

Intern gibt's einen Web/Mailserver (mit einer 10.x.x.x IP)

Als Routerkonfiguration wurde NAT gewählt.
D.h der Cisco-Router hat extern die offizielle IP des Mailservers, intern eine private.

Die benötigten Ports schaltet der Cisco per SNAT/DNAT durch, was auch funktioniert.

Aber folgendes Problem bleibt:

Wenn ich in der Schule (intern von einem 10er Client) auf den FQDN des Webservers zugreifen möchte, löst dieser im DNS auf die offizielle IP auf und so erreiche ich ihn nicht.

Weil's über den Cisco angeblich so nicht geht.

Sprich ich sitze z.B am Rechner 10.1.1.100 gebe im Browser ein "mail.xxx.at" (um auf's Webmail zu kommen) => der Client löst die IP auf und bekommt die offizielle zurück: 91.xx.xx.xx
Der Client geht somit zum Default-Gateway => das interne Interface des Cisco.
Der sieht IMHO => 91.xx.xx.xx "uups, das bin ich ja selber => leitet den Port aber nicht auf die interne IP des Mailservers um.

Weil's der Cisco angeblich nicht kann.

Jetzt könnt ich nurmehr den lokalen DNS so umbiegen, dass die mail.xxx.at auf die 10er Adresse auflöst, was ich extrem unsauber finde.

Kommentare, Vorschläge erwünscht

Danke!

Manx

roro · 20.04.2007, 15:08

Ist an sich ein übliches Problem bei NAT und Port-Forwarding. Welchen Cisco-Router hast Du, denn die meisten Router können das wirklich nicht.

MANX · 20.04.2007, 15:14

Hi & Danke!

.. glaub ein 800er, läuft auf alle Fälle über ISDN!

Grüße

Manx

harry1983 · 20.04.2007, 15:17

Dann kannst das so gleichmal vergessen. Das lässt sich bei dem Router nicht anders lösen.
Da fällt mir spoantan jetzt nur folgende Lösung ein:

Lass den Cisco auf Routing schalten und stell dahinter einen eigenen auf ders kann bzw. eine Firewall die dir die Umleitung macht, oder versuch mal als GW die DNS des Servers (sofern der DNS konfiguriert ist, was ich ja hoffe) einzutragen und dann nochmal den Zugriff zu testen.

MANX · 20.04.2007, 15:24

Hi!

Der Router war ursprünglich auf "Routing" eingestellt, sowie der alte Internetzugang übers ASN auch.

Ich hab mich bewusst für die Umstellung auf NAT entschieden, da

die Verantwortung bzgl. Sicherheit am Cisco bzw. bei der Telekom liegt
eine VPN-Verbindung mit dem Cisco-VPN Client möglich ist (mit Racoon auf Linux ist's ein Krampf
weitere Portfreischaltungen duch "advanced secure" kostenlos gemacht werden

... mit so einer Sch**ße, hab ich nicht gerechnet

... trotzdem Danke!

Manx

harry1983 · 20.04.2007, 15:28

Solltest dennoch Fragen zu dem Anschluss haben, ich bin wie eh schon bekannt tätig in dem Verein, und kenn mich mit dem Business Access aus , da ich lange auf der Hotline war

Schreib einfach ne PN wennst noch Fragen hast.

MANX · 20.04.2007, 15:34

... Danke, jetzt bin ich erstmal auf Cisco sauer. Gibt's da Dinger die das könnten? (Linux kann's ja auch!)

Grüße,

Manx

harry1983 · 20.04.2007, 15:37

Äh welche Generation von Cisco das kann, da bin ich jetzt auch überfragt, allerdings haben wir die noch nicht im Portfolio. Das heisst es bleibt dir derweil eh nichts anderes übrig ^^

20.04.2007, 14:43	#1
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Telekom Business Access pro - Cisco Frage (CCNA wanted!) Hi @all! Folgende Situation in einer Schule: Die Internetanbindung wurde auf einen "Business Access pro" Zugang der Telekom umgestellt. Intern gibt's einen Web/Mailserver (mit einer 10.x.x.x IP) Als Routerkonfiguration wurde NAT gewählt. D.h der Cisco-Router hat extern die offizielle IP des Mailservers, intern eine private. Die benötigten Ports schaltet der Cisco per SNAT/DNAT durch, was auch funktioniert. Aber folgendes Problem bleibt: Wenn ich in der Schule (intern von einem 10er Client) auf den FQDN des Webservers zugreifen möchte, löst dieser im DNS auf die offizielle IP auf und so erreiche ich ihn nicht. Weil's über den Cisco angeblich so nicht geht. Sprich ich sitze z.B am Rechner 10.1.1.100 gebe im Browser ein "mail.xxx.at" (um auf's Webmail zu kommen) => der Client löst die IP auf und bekommt die offizielle zurück: 91.xx.xx.xx Der Client geht somit zum Default-Gateway => das interne Interface des Cisco. Der sieht IMHO => 91.xx.xx.xx "uups, das bin ich ja selber => leitet den Port aber nicht auf die interne IP des Mailservers um. Weil's der Cisco angeblich nicht kann. Jetzt könnt ich nurmehr den lokalen DNS so umbiegen, dass die mail.xxx.at auf die 10er Adresse auflöst, was ich extrem unsauber finde. Kommentare, Vorschläge erwünscht Danke! Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

20.04.2007, 15:08	#2
roro Senior Member Registriert seit: 13.07.2006 Beiträge: 192	Ist an sich ein übliches Problem bei NAT und Port-Forwarding. Welchen Cisco-Router hast Du, denn die meisten Router können das wirklich nicht. ____________________________________ Inode Partner (SDSL 4 Mbit flat) http://www.inode.at/redirect_partner.php Free WebForum Online Wichteln

20.04.2007, 15:14	#3
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi & Danke! .. glaub ein 800er, läuft auf alle Fälle über ISDN! Grüße Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

20.04.2007, 15:24	#5
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	Hi! Der Router war ursprünglich auf "Routing" eingestellt, sowie der alte Internetzugang übers ASN auch. Ich hab mich bewusst für die Umstellung auf NAT entschieden, da die Verantwortung bzgl. Sicherheit am Cisco bzw. bei der Telekom liegt eine VPN-Verbindung mit dem Cisco-VPN Client möglich ist (mit Racoon auf Linux ist's ein Krampf weitere Portfreischaltungen duch "advanced secure" kostenlos gemacht werden ... mit so einer Sch**ße, hab ich nicht gerechnet ... trotzdem Danke! Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

20.04.2007, 15:34	#7
MANX Inventar Registriert seit: 27.02.2001 Beiträge: 1.967	... Danke, jetzt bin ich erstmal auf Cisco sauer. Gibt's da Dinger die das könnten? (Linux kann's ja auch!) Grüße, Manx ____________________________________ Broadcasting from the Isle of Man: >> Manx Radio <<

20.04.2007, 15:17	#4
harry1983 WoW Rückkehrer Registriert seit: 28.01.2004 Ort: Wien Alter: 42 Beiträge: 1.739 Mein Computer	Dann kannst das so gleichmal vergessen. Das lässt sich bei dem Router nicht anders lösen. Da fällt mir spoantan jetzt nur folgende Lösung ein: Lass den Cisco auf Routing schalten und stell dahinter einen eigenen auf ders kann bzw. eine Firewall die dir die Umleitung macht, oder versuch mal als GW die DNS des Servers (sofern der DNS konfiguriert ist, was ich ja hoffe) einzutragen und dann nochmal den Zugriff zu testen.

20.04.2007, 15:28	#6
harry1983 WoW Rückkehrer Registriert seit: 28.01.2004 Ort: Wien Alter: 42 Beiträge: 1.739 Mein Computer	Solltest dennoch Fragen zu dem Anschluss haben, ich bin wie eh schon bekannt tätig in dem Verein, und kenn mich mit dem Business Access aus , da ich lange auf der Hotline war Schreib einfach ne PN wennst noch Fragen hast.

20.04.2007, 15:37	#8
harry1983 WoW Rückkehrer Registriert seit: 28.01.2004 Ort: Wien Alter: 42 Beiträge: 1.739 Mein Computer	Äh welche Generation von Cisco das kann, da bin ich jetzt auch überfragt, allerdings haben wir die noch nicht im Portfolio. Das heisst es bleibt dir derweil eh nichts anderes übrig ^^

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)