Mail nur über den 2en Internet Service Provider

Um mit den Cisco Routen Mail nur über einen Provider zu versenden, muss eine Policy Route erstellt werden die den Verkehr erstellt werden.

!--- snip ---
ip access-list extended SERVER-RT-MAP-ACL
  10 permit tcp host 192.168.20.1 any eq smtp
!
route-map SERVER-RT-MAP permit 10
  match ip address SERVER-RT-MAP-ACL
  set interface Dialer1
!
interface FastEthernet 0
  ip policy route-map SERVER-RT-MAP
!--- snip ---
Advertisements
Dieser Beitrag wurde unter Cisco, Computer, Routing veröffentlicht. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Mail nur über den 2en Internet Service Provider

  1. thebrain schreibt:

    Hallo,

    wie muss denn der Rest ausssehn. Habe das so eingepflegt das alle aus dem Clientnetz ssh nach aussen über die zweite Leitung machen sollen. Leider funktioniert es nicht.

    • patrickpreuss schreibt:

      Hi
      für ssh muss die SERVER-RT-MAP-ACL entsprechenden angepasst werden.
      --- snip ---
      ip access-list extended SERVER-RT-MAP-ACL
      10 permit tcp host 192.168.20.1 any eq smtp
      --- snip ---

      für SSH würde die dann wie folgt aussehen:

      --- snip ---
      ip access-list extended SERVER-RT-MAP-ACL
      20 permit tcp host 192.168.20.1 any eq 22
      --- snip ---

      die ACL Routet den Rechner mit 192.168.20.1 über den Dialer 1.

      Für ein Netz, 192.168.20.0 255.255.255.0, würde das dann so aussehen:

      --- snip ---
      ip access-list extended SERVER-RT-MAP-ACL
      20 permit tcp 192.168.20.0 0.0.0.255 any eq 22
      --- snip ---

      Fals du noch Fragen oder Probleme hast müssen wir ein wenig mehr ins Detail gehen.

      Cheers Patrick

  2. thebrain schreibt:

    Hallo,

    das habe ich gemacht, trotzdem kein ssh nach aussen möglich.

    bei mir sieht das so aus:
    ip access-list extended sftp-acl
    permit tcp 10.23.2.0 0.0.0.255 any eq 22

    —–
    route-map so:
    route-map traffic-sftp permit 10
    match ip address sftp-acl
    set interface Dialer2

    die acl am dialer 2 so
    access-list 102 deny ip 10.23.2.0 0.0.0.255 10.24.1.0 0.0.0.255
    access-list 102 permit ip 10.23.2.0 0.0.0.255 any

    ip nat inside source list 102 interface Dialer2 overload

    hab keinen schimmer warum das nicht geht

    • patrickpreuss schreibt:

      Hi

      der weg raus ist schon richtig bei dir. Du solltest nur noch das NAT Anpassen
      deine Packete werden über Dialer 2 versendet aber nicht mit der Addresse von Dialer 2.

      Ich hab das schon mal in einem anderen Post beschreiben wie das geht, NAT mit 2 Providern. Aus einem mir nicht erfindlichen Grund must du dann auch Route Map basieredes NAT machen.

      Gruss Patrick

      Edit: Link angpasst

  3. thebrain schreibt:

    Super. Das probiere ich doch aus, leider funktioniert der Link nicht.

  4. thebrain schreibt:

    Habe den Beitrag gefunden. Kannst den letzten Blogeintrag löschen. Frage hätte ich noch. wenn ich das overload ändere kommt es dann zu verbindungsabbrüchen. Oder muss ich sogar den dialer neustarten.

    • patrickpreuss schreibt:

      Bin mir nicht ganz sicher aber kann sein das du mit einigen Packet verlusten hinkommst.
      Normalerweise reicht ein clear ip nat trans * .

  5. thebrain schreibt:

    Ok, das werde ich mal testen. habe gesehn das in dem beitrag ip routen auf beiden dialern gesetzt wurden. muss ich das, habe mal gehört das wenn man policy nutzt das nicht gemacht werden muss. stimmt das?

    • patrickpreuss schreibt:

      Wenn du Policy Routing nutzt umgehst du die Routing Tabelle. Die NAT Lösung mach Load Balancing über beide Provider. Es kommt darauf an was du erreichen möchtest, du kannst beide Provider gleichzeitig nutzen oder nur für bestimmte Dienste, du kannst auch ein Failover einbauen fals ein Provider nicht erreichbar ist.

  6. thebrain schreibt:

    So wollte das gerade machen, bin mir aber unsicher da eine frage kommt mit der ich nicht gerechnet habe.
    wenn ich

    no ip nat inside source list 101 interface Dialer0 overload
    

    mache um den alten Eintrag zu entfernen fragt er mich folgendes

    Dynamic mapping in use, do you want to delete all entries?
    

    Wenn dann nichts mehr geht wäre das schlecht

    • patrickpreuss schreibt:

      Du wirst etwas verlust haben ca. 10 Packete, wenn die Restliche Konfiguartion steht. Du kannst die Route-Maps und ACLs alle Vorbereiten und dann das NAT selber umbauen, leider geht das nicht ganz ohne verlust das du die Zuordnung der NAT Tabelle aufheben must. Wenn ich mich richtig erinnere kannst du auch die neue Zeile einfühgen ohne die alte zu Löschen und dann mit einem clear ip nat die neu aktive zu setzten. Ich weis nicht was ihr bei euch über den Router macht aber eine Fester von 2 Minuten reicht um das durch zuführen, wenn die Leute „nur surfen“ und e-mail machen stört das keinen, die meisten TCP Applicationen sollten das nicht merken, kritisch wird das bei Citrix oder grossen Downloads.

  7. thebrain schreibt:

    Ich möchte nur für bestimmt Dienste die zweite Leitung nutzen. und zwar für ssh und ftp. Mehr soll über die zweite Leitung nicht gehen. Da dies die meiste traffic ausmacht.

  8. thebrain schreibt:

    So damit ich jetzt auch richtig mache.
    Habe ich jetzt folgende Konfig.

    ip nat inside source route-map dialer1-nat interface Dialer0 overload
    ip nat inside source route-map dialer2-nat interface Dialer2 overload

    ----Meine ACL erstmal nur für SSH -----
    ip access-list extended sftp-acl
    permit tcp 10.23.2.0 0.0.0.255 any eq 22

    ------ Meine Routemaps ----
    route-map traffic-sftp permit 10
    match ip address sftp-acl
    set interface Dialer2
    !
    route-map dialer1-nat permit 10
    match ip address 101
    match interface Dialer0
    !
    route-map dialer2-nat permit 10
    match ip address 101
    match interface Dialer2

    ---- Das ACL wo drauf gematched wird ----
    access-list 101 deny ip 10.23.2.0 0.0.0.255 10.24.1.0 0.0.0.255
    access-list 101 permit ip 10.23.2.0 0.0.0.255 any

    --- IP route ----
    ip route 0.0.0.0 0.0.0.0 Dialer0

    Würde das jetzt so funktionieren das ssh nur noch über den dialer 2 geht.
    Die route-map traffic-sftp ist per ip policy an das vlan1 gemappt wo Maschinen drin hängen.

    wenn das so geht, würde ich es jetzt ausführen.

    • patrickpreuss schreibt:

      Hi

      sieht soweit gut aus ausser das du 2 acl für das nat nehmen solltes, das funtioniert bessert hab ich die erfahrung gemacht.

      Es die Deny zeile in der ACL brauchst du nicht mehr zwingend da du durch die Route map einen Match auf das Outgoing Interface hast.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s