February 27, 2004
Hallå
Försöker öppna en port på min Cisco 1812 och jag har gjort exakt som det står på lite olika ställen men det går åt helvette. Det märkliga är dock att min dator verkar anslutningsbar när jag använder porten som jag öppnat till uTorrent, men inga andra program går det att ansluta till.
config:
Current configuration : 2022 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname TERMINATOR
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx
enable password xxxxxxxxx
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.0.0.1
!
ip dhcp pool DHCPSRV
import all
network 10.0.0.0 255.0.0.0
default-router 10.0.0.1
dns-server xxxxxxxxx xxxxxxxxx
!
!
!
ip name-server xxxxxxxx
ip name-server xxxxxxxx
!
multilink bundle-name authenticated
!
!
vtp mode transparent
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
ip address 10.0.0.1 255.0.0.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
isdn point-to-point-setup
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
no ip address
!
ip forward-protocol nd
!
!
no ip http server
no ip http secure-server
ip nat inside source static tcp 10.0.0.177 42177 interface FastEthernet0 42177
ip nat inside source static tcp 10.0.0.178 42178 interface FastEthernet0 42178
ip nat inside source static tcp 10.0.0.179 42179 interface FastEthernet0 42179
ip nat inside source list 101 interface FastEthernet0 overload
!
access-list 101 permit ip any any
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
!
end
Som ni ser har jag tex försökt få all trafik med destinationsport 42177 att skickas till en viss maskin. Detta verkar som sagt fungera bra med uTorrent men om jag använder samma port till andra program så lyckas det inte (har självklart inte igång utorrent eller annat på den porten samtidigt).
Någon som har nån aning om vad som felar?
August 27, 2003
Eftersom du har en någorlunda vettig router bör du kunna debugga och på så sätt se så att routern åtminstone gör rätt. (nat-reglerna ser korrekta ut förövrigt)
Det du får göra är att banka in "no ip route cache" på interfacen, lite beroende på IOS men...det borde funka..
Sen kör du "debug ip packet", slå på term-mon också i global enable så du ser vad som händer. Här är det också vettigt om du INTE kör trafik igenom routern när du gör detta för då lägger den sig garanterat på rygg och bootar om om den behöver göra packet-inspection på allt som åker igenom.
Har du tillgång till en linux-maskin kan du också sätta upp en e-SPAN-port på ditt ESwitch-NM och köra TCP-dump/Wireshark därifrån för att titta på trafiken.
Goodluck.
August 27, 2003
Ah. såg att du var anslutningsbar på den porten men bara om du kör uTorrent. Har du kollat med netstat i din WinXP-maskin så inget annat program ligger och lyssnar på porten?
Det borde finnas "debug ip nat" i routern också förövrigt. Du kan även prova att ändra "tcp" i dina NAT-regler till "all" om det finns i din IOS.
February 27, 2004
vet inte riktigt hur jag ska göra för att testa utan att annan trafik går igenom routern, när jag testar nu så blir det för mycket och den dör som du sa, "debug ip nat" också.
det är inget annat program som lyssnar på samma port det vet jag.
När jag kör wireshark och går in på sidan http://www.utorrent.com:16000/.....port=42177 så ser jag att paketen kommer fram till mig (oavsett om utorrent eller nått annat program är startat). Men sjukt nog så kommer inte några paket fram från någon annan stans alls, även fast jag använder samma port. Hur kan detta komma sig? :S
Kör tex ett litet enkelt javaprogram på en maskin utanför routern
Socket s = new Socket("router-ip",42177);
får "Connection refused" och inga paket dyker upp på min dator i wireshark
edit: kan inte ändra från "tcp" till "all" i nat-inställningarna men jag la till en likadan fast med udp iställe men det hjälpte inget
February 27, 2004
det kan inte vara brandväggen som är problemet tycker jag. har testat på två olika burkar en med xp o en med vista, även stängt av brandväggarna, men det blir exakt lika skumt på båda.
när jag kollar på paketen i wireshark så ser jag att dom paketen som slipper igenom (från utorrent.com/.....) har nått slags timestamp värde som inte dom andra har, i övrigt är paketen så gott som identiska förutom annan avsändaradress såklart. kan detta ha någon betydelse?
February 27, 2004
här finns dumpen http://fildelningsskuld.se/skumrask.zip
första två är från när utorrent.com-sidan försöker ansluta (paketen kommer fram)
resten är från när jag försökte skicka från min dator till mig själv via det publika ip:t (det kanske inte ska fungera eftersom man redan är på insidan eller nått med inga paket rann igenom i alla fall)
försökte även ansluta från andra burkar som inte sitter bakom samma router men några paket från dessa anslutningsförsök dyker aldrig upp
August 27, 2003
Nu ska vi se här. Dom två första ramarna ser bra ut, all good.
I dom andra får du ju RST ACK svar från ditt utsideIP för att du inte har portarna öppna, fullkomligt normalt beteende för TCP. Det ser ju onekligen lite märkligt ut dock. Att köra mot sig själv är dock ett dåligt exempel eftersom svarstiderna blir helt fuckade. Vad säger wireshark om du provar mot ett annat IP på internet? får du inte ens fram trafiken då eller vad menar du?
Pröva knacka in "ip routing" också, det borde inte göra nån skillnad men... värt ett försök.
February 27, 2004
Ja, testar jag mot ett annat ip på nätet så går trafiken fram. Det jag menade var att om jag använder en annan dator ute på internet och skickar samma paket som jag skickade själv så kommer dom aldrig fram till mig och fanns därför inte med i wiresharkdumpen.
"ip routing" verkar bli "ip cef" så det är redan inställt.
2 Guest(s)