Advies uitwerken virtueel netwerk

[antx]

Ik ben een netwerk virtueel aan het uitwerken voor een klein bedrijfje, maar momenteel werkt mijn NAT nog niet zoals het hoort sinds ik geen outside netwerk kan pingen. Ziet iemand waar ik ben fout gegaan? Kan dit mogelijks liggen aan mijn access controll lists?

Elke hulp is welkom, ik zit volledig vast.

het netwerk ziet er als volgt uit:

en dit zijn de gebruikte command op router 0 en router 1

=====ROUTER0======

ena
conf t
inter fa0/0
ip address 192.168.10.1 255.255.255.0
ip access-group 102 out
ip nat inside
no shut

int ser 0/0/0
ip add 172.16.1.1 255.255.255.0
encap ppp
clo rat 128000
ip nat inside
no shut

int fa0/1
ip add 172.19.5.4 255.255.0.0
ip nat outside
no shut

router rip
network 172.16.1.0
network 192.168.10.0

ip nat pool ovrld 172.19.5.4 172.19.5.4 netmask 255.255.0.0
ip nat inside source list 7 pool ovrld overload

access-list 7 permit 192.168.10.0 0.0.0.255
access-list 7 permit 192.168.30.0 0.0.0.255

access-list 102 permit icmp any 192.168.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 192.168.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 192.168.10.0 0.0.0.255 echo
access-list 102 permit tcp any host 192.168.10.2 eq www
access-list 102 permit tcp any any eq 80
access-list 102 permit tcp any any eq 21
access-list 102 permit tcp any any eq 20
access-list 102 deny ip any any

=====ROUTER1======

ena
conf t
inter fa0/0
ip address 192.168.30.1 255.255.255.0
ip access-group 101 in
no shut

access-list 101 permit tcp 192.168.30.0 0.0.0.255 any
access-list 101 permit udp 192.168.30.0 0.0.0.255 any
access-list 101 permit icmp 192.168.30.0 0.0.0.255 any

int ser 0/0/0
ip add 172.16.1.2 255.255.255.0
encap ppp
clo rat 128000
ip access-group 102 in
no shut

access-list 102 permit icmp any any
access-list 102 permit tcp any any
access-list 102 permit udp any any
access-list 102 deny ip any any

router rip
network 172.16.1.0
network 192.168.30.0

[t-town]

Volgens mij is het de conventie om routers een zo hoog mogelijk ip adres te geven (eg 192.168.1.254). Voor de rest kan ik je niet echt helpen

[FunkStar]

Is er een specifieke reden waarom er met 2 routers gewerkt word?

[antx]

Voor veiligheids redenen wou de webserver in een DMZ plaatsen zodat trafiek van buitenaf alleen daar moet zijn en dat er dus geen trafiek naar mijn intern netwerk moet/kan gaan. Ik denk dat ik het ook met vlans en 1 router had kunnen realiseren maar dan maak ik mijn probleem denk ik alleen ingewikkelder.

[ITnetadmin]

Maar die 1e router doet dan een passthrough?

[xming]

Een paar opmerkingen

- je outside IP is steeds RFC 1918, is dat de bedoeling? En class B? Je kan ook classless gebruiken.
- probeer eens een "access-list 102 permit icmp any any echo|echo-reply" om te zien off het aan de acl ligt, of desnoods "access-list 102 permit ip any any"
- stateless acl is echt niet meer van deze tijd

[antx]

je outside IP is steeds RFC 1918, is dat de bedoeling? En class B? Je kan ook classless gebruiken.

Ik ga dit netwerk morgen met cisco hardware maken, dat ip address is hetgeen wat mij is toegewezen.

probeer eens een "access-list 102 permit icmp any any echo|echo-reply" om te zien off het aan de acl ligt, of desnoods "access-list 102 permit ip any any"

heb ik nu getest maar helaas kan ik nog steeds niets buiten mijn netwerk bereiken en omgekeerd.

stateless acl is echt niet meer van deze tijd

Dit is de eerste keer dat ik met acls werk en heb zoveel mogelijk voorbeelden proberen volgen, hoe zou je het via die stateful acls doen?

[ubremoved_539]

Ik denk dat ik het ook met vlans en 1 router had kunnen realiseren maar dan maak ik mijn probleem denk ik alleen ingewikkelder.

Met één router heb je alvast geen dubbele NAT voor je intern netwerk. Ik zie niet in waarom je dit met twee routers zou doen.

Trouwens je server in je DMZ bevat ook "administratie" en "marketing"... lijkt me ook niet echt het idee van een DMZ.

[ITnetadmin]

Ik ben ook niet echt tevreden met je IP adressen. Beter de default gateway .254 geven, en de servers een eigen range voorzien en niet zomaar bij de pc's plakken.

[antx]

Ik heb het zo snel mogelijk proberen uitwerken met 1 router
Als ik de server een eigen range moet geven moet ik die dan op een andere switch steken?

en dit heb ik geconfigureerd in de router:
ena
conf t
int fa0/0
ip add 192.168.10.254 255.255.255.0
ip access-group 101 in
ip nat inside
no shut

int fa0/0
ip add 192.168.20.254 255.255.255.0
ip access-group 102 out
ip nat inside
no shut

int se0/0/0
ip add 172.19.5.4 255.255.0.0
encap ppp
clock rate 128000
ip nat outside
no shut

ip nat pool ovrld 172.19.5.4 172.19.5.4 netmask 255.255.0.0
ip nat inside source list 7 pool ovrld overload

access-list 7 permit 192.168.10.0 0.0.0.255
access-list 7 permit 192.168.20.0 0.0.0.255


access-list 101 permit tcp 192.168.30.0 0.0.0.255 any
access-list 101 permit udp 192.168.30.0 0.0.0.255 any
access-list 101 permit icmp 192.168.30.0 0.0.0.255 any
access-list 101 deny ip any any
access-list 102 permit icmp any 192.168.10.0 0.0.0.255 echo-reply
access-list 102 permit icmp any 192.168.10.0 0.0.0.255 unreachable
access-list 102 permit icmp any 192.168.10.0 0.0.0.255 echo
access-list 102 permit tcp any host 192.168.10.2 eq www
access-list 102 permit tcp any any eq 80
access-list 102 permit tcp any any eq 21
access-list 102 permit tcp any any eq 20
access-list 102 deny ip any any

[ITnetadmin]

Ik bedoelde een eigen range binnen hetzelfde subnet.
Bv ips 50-59 enkel voor servers reserveren.

[ Post made via mobile device ]

[ubremoved_539]

Zet ze dan meteen vooraan of achteraan in het subnet (en niet in het midden )... bv. alles boven .200 zijn servers, switches, printers, ... alles onder de .200 zijn PC's.

Het helpt ook als je op voorhand bekijkt hoeveel adressen je nodig gaat hebben (vaak hebben toestellen twee adressen in gebruik; wired en wireless) en of een /24 volstaat.

[ITnetadmin]

Boven de 200 is ook een goed idee. Tis alleen dat iedereen die ik ken zijn servers in de 50 range staan, tis zo creepy da'k dacht dat daar ergens een conventie over bestond ofzo.

[ Post made via mobile device ]

[krisken]

Grappig, ik zet ze meestal juist vooraan in de reeks, en laat de DHCP servers ip's uitdelen vanaf .101
Wat de gateway betreft : de ene keer gebruik ik .1, de andere keer .254. Wat is eigenlijk hier gebruikelijk?

[ubremoved_539]

Dit zijn gewoon allemaal gewoontes... zolang je voor jezelf consequent bent en er een logica in zit is het prima.

[ITnetadmin]

Gateways zijn vaak 254, dat is een van de weinige vaste gebruiken.
Ik zet fixed IPs vooraan, 100 als dhcp en 200 voor netwerktoestellen. De dhcp range kan expanden indien nodig, naar voren.

[ Post made via mobile device ]

[didi79]

Gouden regel in IT: Keep it simple

Hoe eenvoudiger, hoe minder kans op fouten, hoe minder miserie. Als je zelf al aangeeft dat je nog nooit met ACL's gewerkt hebt, begin er dan niet direct aan in een productie netwerk. Stick to what you know.

[didi79]

Volgens mij is het de conventie om routers een zo hoog mogelijk ip adres te geven (eg 192.168.1.254). Voor de rest kan ik je niet echt helpen

Nog nooit van dergelijke conventie gehoord. Ik ben baas over de netwerken die ik beheer, dus ik kies de ip's van gateways.

[xming]

probeer eens een "access-list 102 permit icmp any any echo|echo-reply" om te zien off het aan de acl ligt, of desnoods "access-list 102 permit ip any any"

heb ik nu getest maar helaas kan ik nog steeds niets buiten mijn netwerk bereiken en omgekeerd.

dan ligt het probleem niet in de acls voor de toegang maar acl voor de NAT, ik heb al jaren geen cisco + nat geconfigd, maar IIRC je hebt maar nat en geen nat + pat, in jouw situatie, je heb nat + pat nodig, en installeer een syslog daemon, configureer de cisco zodat ie logt.

stateless acl is echt niet meer van deze tijd

Dit is de eerste keer dat ik met acls werk en heb zoveel mogelijk voorbeelden proberen volgen, hoe zou je het via die stateful acls doen?

stateful acl == firewall