Cisco, Computer, Routing

Mail nur über den 2en Internet Service Provider

11 Comments

Um mit den Cisco Routen Mail nur über einen Provider zu versenden, muss eine Policy Route erstellt werden die den Verkehr erstellt werden.
[sourcecode]
!— snip —
ip access-list extended SERVER-RT-MAP-ACL
10 permit tcp host 192.168.20.1 any eq smtp
!
route-map SERVER-RT-MAP permit 10
match ip address SERVER-RT-MAP-ACL
set interface Dialer1
!
interface FastEthernet 0
ip policy route-map SERVER-RT-MAP
!— snip —
[/sourcecode]

11 thoughts on “Mail nur über den 2en Internet Service Provider”

  1. Hallo,

    wie muss denn der Rest ausssehn. Habe das so eingepflegt das alle aus dem Clientnetz ssh nach aussen über die zweite Leitung machen sollen. Leider funktioniert es nicht.

  2. Hallo,

    das habe ich gemacht, trotzdem kein ssh nach aussen möglich.

    bei mir sieht das so aus:
    ip access-list extended sftp-acl
    permit tcp 10.23.2.0 0.0.0.255 any eq 22

    —–
    route-map so:
    route-map traffic-sftp permit 10
    match ip address sftp-acl
    set interface Dialer2

    die acl am dialer 2 so
    access-list 102 deny ip 10.23.2.0 0.0.0.255 10.24.1.0 0.0.0.255
    access-list 102 permit ip 10.23.2.0 0.0.0.255 any

    ip nat inside source list 102 interface Dialer2 overload

    hab keinen schimmer warum das nicht geht

  4. Habe den Beitrag gefunden. Kannst den letzten Blogeintrag löschen. Frage hätte ich noch. wenn ich das overload ändere kommt es dann zu verbindungsabbrüchen. Oder muss ich sogar den dialer neustarten.

  5. Ok, das werde ich mal testen. habe gesehn das in dem beitrag ip routen auf beiden dialern gesetzt wurden. muss ich das, habe mal gehört das wenn man policy nutzt das nicht gemacht werden muss. stimmt das?

    1. Wenn du Policy Routing nutzt umgehst du die Routing Tabelle. Die NAT Lösung mach Load Balancing über beide Provider. Es kommt darauf an was du erreichen möchtest, du kannst beide Provider gleichzeitig nutzen oder nur für bestimmte Dienste, du kannst auch ein Failover einbauen fals ein Provider nicht erreichbar ist.

  6. So wollte das gerade machen, bin mir aber unsicher da eine frage kommt mit der ich nicht gerechnet habe.
    wenn ich
    [code]
    no ip nat inside source list 101 interface Dialer0 overload
    [/code]
    mache um den alten Eintrag zu entfernen fragt er mich folgendes
    [code]
    Dynamic mapping in use, do you want to delete all entries?
    [/code]
    Wenn dann nichts mehr geht wäre das schlecht

    1. Du wirst etwas verlust haben ca. 10 Packete, wenn die Restliche Konfiguartion steht. Du kannst die Route-Maps und ACLs alle Vorbereiten und dann das NAT selber umbauen, leider geht das nicht ganz ohne verlust das du die Zuordnung der NAT Tabelle aufheben must. Wenn ich mich richtig erinnere kannst du auch die neue Zeile einfühgen ohne die alte zu Löschen und dann mit einem clear ip nat die neu aktive zu setzten. Ich weis nicht was ihr bei euch über den Router macht aber eine Fester von 2 Minuten reicht um das durch zuführen, wenn die Leute “nur surfen” und e-mail machen stört das keinen, die meisten TCP Applicationen sollten das nicht merken, kritisch wird das bei Citrix oder grossen Downloads.

  7. Ich möchte nur für bestimmt Dienste die zweite Leitung nutzen. und zwar für ssh und ftp. Mehr soll über die zweite Leitung nicht gehen. Da dies die meiste traffic ausmacht.

  8. So damit ich jetzt auch richtig mache.
    Habe ich jetzt folgende Konfig.

    ip nat inside source route-map dialer1-nat interface Dialer0 overload
    ip nat inside source route-map dialer2-nat interface Dialer2 overload

    ----Meine ACL erstmal nur für SSH -----
    ip access-list extended sftp-acl
    permit tcp 10.23.2.0 0.0.0.255 any eq 22

    ------ Meine Routemaps ----
    route-map traffic-sftp permit 10
    match ip address sftp-acl
    set interface Dialer2
    !
    route-map dialer1-nat permit 10
    match ip address 101
    match interface Dialer0
    !
    route-map dialer2-nat permit 10
    match ip address 101
    match interface Dialer2

    ---- Das ACL wo drauf gematched wird ----
    access-list 101 deny ip 10.23.2.0 0.0.0.255 10.24.1.0 0.0.0.255
    access-list 101 permit ip 10.23.2.0 0.0.0.255 any

    --- IP route ----
    ip route 0.0.0.0 0.0.0.0 Dialer0

    Würde das jetzt so funktionieren das ssh nur noch über den dialer 2 geht.
    Die route-map traffic-sftp ist per ip policy an das vlan1 gemappt wo Maschinen drin hängen.

    wenn das so geht, würde ich es jetzt ausführen.

    1. Hi

      sieht soweit gut aus ausser das du 2 acl für das nat nehmen solltes, das funtioniert bessert hab ich die erfahrung gemacht.

      Es die Deny zeile in der ACL brauchst du nicht mehr zwingend da du durch die Route map einen Match auf das Outgoing Interface hast.

Leave a Reply