Jemand Erfahrung mit einem Cisco Router und Opnsense (LAB)?

Chibi88

Lt. Commander
Registriert
Dez. 2007
Beiträge
1.302
Nabend :),

folgende Topologie im Anhang.

Ich spiele aktuell an meinem LAB und würde meine Clients im internen Netz gerne den Zugriff auf das Internet ermöglichen:

Router hat an e2/0 eine DHCP IP-Adresse bekommen und dementsprechen auch das default Gateway gesetzt.
Router hat an e2/1 ein Transfernetz mit 10.0.0.0/30 eingerichtet. Router hat die .1, Sense die .2

Ich komme via Router CLI in das Internet mit Ping. Ich habe ebenfalls eine static route für 192.168.1.0/24 (internes Netz) gesetzt mit Ziel 10.0.0.2, also die Sense.

Ich kann von der Sense den Router pingen. Ebenfalls kann ich von der Sense das Interface vom Router e2/0 pingen. Leider kann ich mit der Sense nicht ins Internet pingen und weiß nicht wieso. Im WAN Interface ist block RFC1918 ausgeschaltet. Upstream GW ist der Router mit 10.0.0.1. Vom Router komme ich ebenfalls mit Ping an das Interface der Sense mit 10.0.0.2

Ich habe keine Idee mehr.

EDIT: mgmt IP ignorieren bitte

Grüße
Chibi :)
 

Anhänge

  • LAB.png
    LAB.png
    29,4 KB · Aufrufe: 84
Habe ich mir auch schon gedacht. Traffic muss ja zum Router durch.

Hast Du eine Idee, wie man das bei einem Cisco Router macht? Bei einer FRITZ!box ist das ja verhältnismäßig einfach.
 
Probiere es mal damit:
conf t
int e2/0
ip nat outside
int e2/1
ip nat inside
exit
ip access-list 100 permit 10.0.0.0 0.0.0.255 any
ip access-list 100 permit 192.168.1.0 0.0.0.255 any
ip nat inside source list 100 Interface e2/0 overload

Grüße
 
  • Gefällt mir
Reaktionen: Chibi88
Danke, hat funktioniert. Im Command hat nach der 100 noch IP gefehlt.

Wieso reicht ip nat inside und outside auf den Interfaces nicht aus? Was machen die beiden ip access list Befehle und was bedeutet im letzten Oktette die 255?
 
Mit inside outside sagst du grundsätzlich was sich wo befindet. mit den acls bestimmst du dann, das welcher traffic genattet werden soll. es kann ja auch mal sein, dass bestimmter Traffic nicht genattet werden soll. so einen router hängt man ja nicht immer ans Internet.

ACLs auf Ciscos schreibt man im "Wildcard" Format d.h. Subetzmaske ist bspw. 255.255.255.0 und die Wildcard dazu ist 0.0.0.255
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Chibi88
Zurück
Oben