forwarde alt til router

jeg skal vel have den "yderste" router til at åbne for alt og bare sende alting videre til den inderste?
men hvordan er det nu lige jeg gør det?

hvis der er et punkt som hedder DMZ så kan du jo bruge den.

Hvad kan du konfigurere i kabel modem'et og hvad model er det?
Hvad er det lige for en router du sætter efter kabelmodem'et?

Og ja, det er skal ske ér, at kabelmodem'et skal sættes til at forwarde al trafik til den IP som routeren har.

nik-> Kabelmodemet er en Cisco 677 og jeg kan konfigurere det, som jeg mener er nødvendigt; NAT/portforwarding, filtre mm.
Den anden router er en D-Link di604 (ved godt det ikke er verdens bedste router, men til mit lille hjemmenetværk fungerer den upåklageligt)
Grunden til at jeg hellere vil have D-Link'en til at "styre" det hele er pga web-interfaced og den indbyggede firewall.
Piller ofte i opsætningen og der er det lidt hurtigere med et webinterface istedet for en god gammel telnet ind på Cisco'en..

Synes jeg har prøvet at forwarde alt trafik fra kabelmodemet til d-link'en med en:
"set nat entry add 192.168.0.1"

Jeg har så en ftp- og en web-server på en af mine maskiner på LAN, som skal være offentligt tilgængelig. Men selvom jeg sætter d-link'en til at forwarde port 80 den maskine hvor webserveren kører og port 21 til den maskine hvor ftp-serveren kører, kan man ikke "se" dem udefra... mener problemet ligger imellem kabelmodemet og d-link'en!

kenp> DMZ gør vel bar en af maskinerne på LAN fuldstændig åben igennem routeren? Problemet er jo, at der er en router/kabelmodem foran routeren med DMZ-muligheden...

jamen hvis den router har dmz kan du jo sææt router 2 i dmz, også selv vælge hvad som skal forwardes vidrer

kenp> det er den bagerste router som har DMZ... og de skal sidde i den rækkefølge da den "forreste" (den uden dmz) er indbygget i kabelmodemet :(

hmann -> så er det lidt svært :(

men prøver lige at se om jeg kender en som ved alt om cisco om det er muligt!

kenp> det ER muligt - det er et spørgsmål om opsætning.. at få den "forreste" router/kabelmodemet til at sende _alting_ videre i systemet!

men hvad er det som skal forwardes og hvortil?

skal alt trafik videresendes til D-link'en (den bagerste router)?

og gør det nogen forskel hvilke IP de 2 routere har?
kabelmodemet har en fast WAN IP og så 192.168.1.1 som intern IP
routeren der sidder efter kabelmodemet har 192.168.0.1
har det noget at sige?

Jeg tror der er rod i IP/subnetmaskerne.
Kan du ikke lige finde 677'erens IP/subnet og DI604'erens WAN + LAN ditto?

Teorien er som følger:
677 har 192.168.1.1 255.255.255.0 -  dette beholdes
DI604's WAN ændres fra DHCP til 192.168.1.2 255.255.255.0
DI604's LAN er 192.168.0.1 255.255.255.0  - dette beholdes
677 skal have en "set nat entry add 192.168.1.2" (slet først eksisterende nat tabel)
På DI604 laves en Virtuel Server, der peger på din web/ftp maskine

hej nik-

Det var lige præcis det jeg havde forestillet mig (og forsøgt uden held)

677'erens IP er 192.168.1.1, subnet 255.255.255.0

DI604's IP står til 192.168.0.1 (har forsøgt at ændre den til 192.168.1.2 for at lave pænere "orden" i numrene, men hvis jeg ændrer den, kan jeg ikke længere komme ind på webinterface'et? jeg kommer ind på 604'eren ved at skrive http://192.168.0.1 i en browser - hvis jeg ændrer dens IP, sker der intet når jeg skriver http://ny-ip?)

604'eren er sat til at hente IP automatisk fra 677'eren - har forsøgt noget andet (har fast IP fra min ISP), men igen uden held...

tror du har ret - der er lidt rod i IP'erne.

Problemet er så nu at jeg ikke kan ændre 604'eren LAN IP... har hurtigt forsøgt at opgradere firmware som jeg fandt på d-links hjemmeside, igen uden held... Men det gik også lidt hurtigt - skal måske lige læse mig til om der er noget specielt der skal gøres udover at køre det program jeg downloade fra d-link.

Er godt nok med på resten omkring "virtual server" og det med at forwarde alt trafik fra 677'eren til 604'erens IP..

Blander jeg noget sammen omkring DI694'erens WAN og LAN IP?

WAN er vel den som 677'eren kan se og LAN den som mine maskiner kender?
Så det er måske slet ikke 604'eren LAN jeg skal forsøge at ændre til 192.168.1.2, men derimod dens WAN der skal ændres til static IP?

Det lyder til at der *er* rod i IP/subnet.

Du behøver ikke ændre DI604'erens LAN IP'en, altså 192.168.0.1, men check lige at LAN subnet er 255.255.255.0
Så ændrer du WAN IP'en fra Dynamic til Static: IP=192.168.1.2, subnet=255.255.255.0, gateway=192.168.1.1, DNS=din ISP's DNS

WAN IP skal være Static, for ellers véd du jo ikke (med sikkerhed) hvilken IP 677'eren skal sende trafikken til.

Du tilgår nu stadig Di604 på 192.168.0.1 (fra LAN siden)

Nu skal 677'eren lige checkes at dens ethernet IP er 192.168.1.1 og subnet er 255.255.255.0 og NAT'en sættes (kør evt "set nat disable", "write", "reload", "set nat enable" og så endelig "set nat entry add 192.168.1.2")

Nu ser det sådan ud:


  \      -------------------      --------------------
    \    |                  |    |                    |
int  \    |public  192.168. |    |192.168.  192.168. |--- web server 192.168.0.10
er  |---|IP      1.1      |----|1.2        0.1      |--- ftp server 192.168.0.11
  net/    |                  |    |                    |--- andre klienter DHCP
    /    --------------------    --------------------
  /                subnet=255.255.255.0        subnet=255.255.255.0



Dine servere skal også have statisk IP, så du véd hvor Virtuel Server'en i DI604 skal sende trafikken hen.

Nuuu bør det virke :-)

(hov siden kører vist kun med monospaced font hér i tastefeltet)

det virker!
smukt!!

så skal jeg bar ha sikret mig at der er lukket for alt andet end det der skal være åbnet for (ftp,web,msn)

har nogle gange undret mig over at det er som om den selv lægger noget NAT entry's ind? Jeg har lavet det sådan at alt forwardes til 192.168.1.2 (pånær port 23 telnet som jeg skal bruge til at komme ind på 677'eren).
men hvis jeg senere går ind og skriver "show nat" så er det ligesom den selv har lagt nogle ind (eg. 192.168.1.2 63xxx)
hva skyldes det?

men burde jeg ikke nu kunne styre alt omkring sikkerhed fra DI604'erens firewall/filters?

smid et svar nik- pointene er dine og tusind tak for hjælpen, var godt nok ved at være træt af det :)

Når du skriver "show nat", får du listet hele NAT tabellen. Den bliver opbygget af den udgående trafik, så routeren kan sende retursvar tilbage til dit lokalnet.
Du kan bruge show run, for at se hvad der er putte manuelt i NAT.

Inden du åbner noget i DI604 boxen, så kør en portscanning: https://grc.com/x/ne.dll?bh0bkyd2
Den er i det hele taget god til at teste om der "er hul igennem" ude fra internettet.

En fiks lille scanner til PC'en: http://www.famatech.com/radmin/utility/pscanner.php

...og god fornøjelse med web og ftp server...

takker...