Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 4.87/45: Рейтинг темы: голосов - 45, средняя оценка - 4.87
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
1

Cisco 1941. Проброс портов

24.05.2013, 14:36. Просмотров 8492. Ответов 27

Добрый день!
Сразу прошу - не пинать меня сильно! Гуглил много.
Итак, есть Cisco 1941 - уже настроенный до меня NAT. Пароль на терминальный доступ есть.
Необходимо просто открыть порты для vpn PPTP: протокол 47 и TCP-порт 1723, в обе стороны.
1. Захожу в терминальном доступе
2. config (зашел в режим конфигурации)
3. 1941-****(config)#interface gigabitEthernet 0/1 (редактирование интерфейса wan)
4. ip nat inside source static tcp 10.254.0.136 1723 ip(тут белый ip wan) 1723 extendable - статическая маршрутизация - так? (тут cisco не на что не ругается)
5. еще в access-list править: access-list extended name_out permit tcp host 10.254.0.136 host ip(тут белый ip wan) eq 1723 - вот тут ругается = invalid input detected at marker ^ 1723.

Что я делаю не так? Объясните пожалуйста ламеру как открыть вышеуказанные порты? - желательно на пальцах.
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
24.05.2013, 14:36
Ответы с готовыми решениями:

Скорость встроенных портов Cisco 1941
Друзья помогите разобраться, использую гигабитный доступ в интернет, напрямую работает на ура,...

Проброс портов cisco
Доброго времени суток, проброшен 80 порт в локалку Доступ из мира есть, но звери из локалки не...

Проброс портов на роутере cisco
есть 3 одинаковых видео регистратора. порт интернета 80 и еще один порт на нем 2000 задача в том...

cisco 2921 не работает проброс портов
Добрый день, конфиг относительно ната следующий interface GigabitEthernet0/0 ip address...

Cisco RV320 проброс портов для VoIP
Использую такой роутер RV320, а это ссылка на он-лайн веб :...

27
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
24.05.2013, 14:47 2
Откуда куда vpn? Где терминируется? Что значит в обе стороны?
Объясните понятнее и желательно приложите схему для наглядности, а также конфиг, чтобы не гадать, что у Вас уже настроено.
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
24.05.2013, 16:33 3
access-list extended name_out permit tcp host 10.254.0.136 host ip(тут белый ip wan) eq 1723
ip это команда, или Вы просто так описали IP адрес?
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
24.05.2013, 18:50  [ТС] 4
MonaxGT
Я так описал то, что там находится ip адрес.

Jabbson
Приложил схему.
Терминируется из локальной сети.
0
Миниатюры
Cisco 1941. Проброс портов  
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
24.05.2013, 21:28 5
Цитата Сообщение от Farhat Посмотреть сообщение
Терминируется из локальной сети.
терминируется не откуда, а на чем. pptp server где? откуда куда поднимается pptp, если Вам так проще?
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
24.05.2013, 22:17  [ТС] 6
Jabbson
Терминируется на Putty (надеюсь об этом вопрос)
PPTP server в удаленной локальной сети. Там белый IP.
pptp поднимается из одной локальной сети в другую(нарисовал). оборудование: 2шт. мтс 3g роутера с поддержкой vpn клиент/сервер.

Выкладываю config.
Везде где видел белые IP адреса - скрыл.
config
Using 7870 out of 262136 bytes
!
! Last configuration change at 12:46:32 MSK Wed Feb 6 2013 by admin
version 15.1
no service pad
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname 1941-(скрыл)
!
boot-start-marker
boot system flash c1900-universalk9-mz.SPA.151-4.M.bin
boot-end-marker
!
!
logging buffered 51200
logging console critical
enable secret (скрыл)
!
aaa new-model
!
!
aaa authentication login default local group radius
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local group radius
!
!
!
!
!
aaa session-id common
!
clock timezone MSK 4 0
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp database LAN
no ip dhcp use vrf connected
ip dhcp excluded-address 10.254.0.200 10.254.0.254
!
ip dhcp pool LAN
network 10.254.0.0 255.255.255.0
domain-name (скрыл)
default-router 10.254.0.254
dns-server 10.254.254.1 10.254.254.2
lease 360
!
!
ip domain name (скрыл)
ip name-server (скрыл)
ip name-server (скрыл)
!
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
crypto pki trustpoint VPN_CA3
enrollment mode ra
enrollment url (скрыл)
usage ike
serial-number
ip-address 10.240.254.254
password (скрыл)
subject-name o=1941-(скрыл)
revocation-check none
rsakeypair VPN_CA3 1024
auto-enroll 75 regenerate
!
!
crypto pki certificate chain VPN_CA3
certificate (скрыл)
certificate ca (скрыл)
license udi pid (скрыл)
license boot module c1900 technology-package securityk9
!
!
archive
log config
logging enable
notify syslog contenttype plaintext
hidekeys
path (скрыл)
write-memory
username (скрыл)
!
redundancy
!
!
!
!
ip ssh version 2
!
!
crypto isakmp policy 10
encr 3des
group 2
crypto isakmp keepalive 10
!
crypto ipsec security-association replay window-size 1024
!
crypto ipsec transform-set aes256 esp-aes 256 esp-sha-hmac
mode transport
!
crypto ipsec profile dmvpn1
set transform-set aes256
!
!
!
!
!
interface Loopback0
description infrastructure_loopback
ip address 10.240.254.254 255.255.255.255
!
interface Tunnel114
no ip address
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description USERS-LAN
ip address 10.254.0.254 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
load-interval 30
duplex auto
speed auto
!
interface GigabitEthernet0/0.5
description SERVERS-LAN
encapsulation dot1Q 5
ip address 10.254.254.254 255.255.255.0
ip nat inside
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/1
description beeline
ip address 192.168.10.102 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
no cdp enable
!
router bgp 65254
bgp log-neighbor-changes
bgp dampening
network 10.240.254.254 mask 255.255.255.255
network 10.254.0.0 mask 255.255.255.0
network 10.254.254.0 mask 255.255.255.0
timers bgp 10 30
neighbor 65254 peer-group
neighbor 65254 remote-as 65254
neighbor 65254 route-reflector-client
neighbor 65254 soft-reconfiguration inbound
neighbor 65254 route-map bgp_out out
neighbor 10.219.0.254 remote-as 65000
neighbor 10.219.0.254 soft-reconfiguration inbound
neighbor 10.219.0.254 weight 100
neighbor 10.219.0.254 route-map bgp_out_main out
!
ip forward-protocol nd
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 5 life 86400 requests 10000
ip flow-top-talkers
top 15
sort-by bytes
!
ip dns server
ip nat inside source list nat interface GigabitEthernet0/1 overload
ip nat inside source list nat-servers interface GigabitEthernet0/1 overload
ip nat inside source static tcp 10.254.254.1 80 (скрыл)174 80 extendable
ip route 0.0.0.0 0.0.0.0 (скрыл)
ip route 0.0.0.0 0.0.0.0 192.168.10.1
!
ip access-list extended nat
permit ip 10.254.0.0 0.0.0.255 any
permit ip 10.254.254.0 0.0.0.255 any
ip access-list extended nat-servers
permit tcp host 10.254.254.1 host (скрыл)eq domain
permit udp host 10.254.254.1 host (скрыл) eq domain
permit udp host 10.254.254.1 host (скрыл)eq domain
permit tcp host 10.254.254.1 host (скрыл) eq domain
permit tcp host 10.254.254.2 host (скрыл) eq domain
permit udp host 10.254.254.2 host (скрыл) eq domain
permit udp host 10.254.254.2 host (скрыл) eq domain
permit tcp host 10.254.254.2 host (скрыл) eq domain
permit tcp host 10.254.254.3 any eq www
permit tcp host 10.254.254.2 any eq www
permit tcp host 10.254.254.1 any eq www
permit tcp host 10.254.254.3 any eq 443
permit tcp host 10.254.254.4 any eq domain
permit tcp host 10.254.254.4 any eq www
permit tcp host 10.254.254.1 host 192.168.10.1 eq domain
permit udp host 10.254.254.1 host 192.168.10.1 eq domain
permit tcp host 10.254.254.2 host 192.168.10.1 eq domain
permit udp host 10.254.254.2 host 192.168.10.1 eq domain
ip access-list extended (скрыл)
permit tcp 10.254.254.0 0.0.0.255 eq 3389 any
permit icmp any any
permit tcp 10.254.0.0 0.0.0.255 eq 4899 any
permit udp host 10.254.0.253 any eq ntp
permit udp host 10.254.0.253 eq snmp host 10.100.192.12
permit tcp 10.254.0.0 0.0.0.255 eq 22 any
permit tcp 10.254.0.0 0.0.0.255 eq telnet any
permit udp host 10.254.0.253 any eq tftp
permit udp host 10.254.0.253 any eq 1631
permit udp host 10.254.0.253 host 10.100.192.6
deny ip any any log
!
logging trap notifications
logging source-interface Loopback0
logging 10.100.192.6
logging 10.100.192.8
logging 10.100.192.12
access-list 10 permit 192.168.0.88
access-list 10 permit 192.168.7.2
access-list 10 permit 192.168.0.30
access-list 10 permit 10.100.131.70
access-list 10 permit 192.168.0.158
access-list 10 permit 172.24.4.0 0.0.0.255
access-list 10 permit (скрыл)
access-list 10 permit 10.100.192.0 0.0.0.255
access-list 10 permit 192.168.126.0 0.0.0.15
access-list 10 permit 192.168.127.64 0.0.0.15
access-list 10 permit 192.168.110.4 0.0.0.3
access-list 10 permit (скрыл)
access-list 10 permit (скрыл)
access-list 10 permit 10.254.0.0 0.0.0.255
access-list 10 permit 10.254.254.0 0.0.0.255
access-list 10 deny any log
access-list 11 permit 10.100.192.0 0.0.0.255
access-list 99 permit 10.240.254.254
access-list 99 permit 10.254.0.0 0.0.0.255
access-list 99 permit 10.254.254.0 0.0.0.255
!
no cdp run
!
!
!
route-map bgp_out_main permit 10
match ip address 99
set metric 100
!
route-map bgp_out_backup permit 10
match ip address 99
set metric 150
!
route-map bgp_out permit 10
set ip next-hop 10.219.254.254
!
route-map bgp_out_backup_2 permit 10
match ip address 99
set metric 200
!
!
snmp-server community (скрыл)
snmp-server ifindex persist
!
!
!
control-plane
!
!
banner login Authorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
(скрыл)
end
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
24.05.2013, 23:10 7
Ради забавы:

Код
Router(config)#ip access-list extended name_out 
Router(config-ext-nacl)#per
Router(config-ext-nacl)#permit tcp host 10.254.0.136 host 192.168.1.1 eq 1723
Router(config-ext-nacl)#
show run
Код
ip access-list extended name_out
 permit tcp host 10.254.0.136 host 192.168.1.1 eq 1723
1
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
25.05.2013, 00:46 8
Цитата Сообщение от Farhat Посмотреть сообщение
pptp поднимается из одной локальной сети в другую(нарисовал).
погодите, я так и не понял - сервер PPTP - в главном офисе или в удаленном?
если в главном - зачем на картинке server написано на удаленном, если в удаленном - зачем проброс делаем?
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
25.05.2013, 10:06  [ТС] 9
Jabbson
1. Сервер PPTP находится в удаленном офисе. Объясню почему: в удаленном офисе есть белый IP. В головном офисе есть основной интернет канал, который тоже имеет белый IP, но он периодически падает, во время падения основного канала переходим на резервный а вот тут нету белого IP, а падает он довольно часто, из-за этого сделал сервер PPTP в удаленном офисе.
2. Проброс портов. VPN поднят ни на самой циске а железке в сети (в сети 2 подсети: серверная 10.254.254.0/24 и для всех рабочих машин 10.254.0/24), поэтому необходимо чтобы "эта" железка с vpn клиентом ходила напрямую в интернет (на железку в удаленном офисе). Собственно что-бы и обратно все пакеты ходили без проблем т.е. и головной офис и удаленный "видели" друг друга без проблем.

MonaxGT
Спасибо!)
Осталось разобраться как открыть GRE и тоже самое снаружи внутрь.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
25.05.2013, 13:50 10
Цитата Сообщение от Farhat Посмотреть сообщение
Сервер PPTP находится в удаленном офисе.
если сервер находится в удаленном офисе, но пробросов (статический нат) не нужно никаких.

приведу пример:

Cisco 1941. Проброс портов


R2
interface FastEthernet0/0
ip address 12.12.12.2 255.255.255.0
ip nat inside
!
interface FastEthernet0/1
ip address 23.23.23.2 255.255.255.0
ip nat outside
!
ip route 0.0.0.0 0.0.0.0 23.23.23.3
!
ip nat inside source list NAT_LIST interface FastEthernet0/1 overload
!
ip access-list standard NAT_LIST
permit 12.12.12.0 0.0.0.255
!
end
Проверка

Подключаемся:
Cisco 1941. Проброс портов
Cisco 1941. Проброс портов
Cisco 1941. Проброс портов


Проверяем подключение:
Cisco 1941. Проброс портов


и из консоли:
Код
PPP adapter VPN Connection:

   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : VPN Connection
   Physical Address. . . . . . . . . :
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.10.2(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.255
   Default Gateway . . . . . . . . . :
   NetBIOS over Tcpip. . . . . . . . : Enabled
на PPTP сервере проверяем маршрут до только что подключившегося клиента:

Код
R4#show ip route 192.168.10.2
Routing entry for 192.168.10.2/32
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via Virtual-Access4
      Route metric is 0, traffic share count is 1
на сервере есть Loopback4 c адресом 4.4.4.4, проверяем доступность через туннель:
Код
C:\Users\root>ping 4.4.4.4

Pinging 4.4.4.4 with 32 bytes of data:
Reply from 4.4.4.4: bytes=32 time=83ms TTL=255
Reply from 4.4.4.4: bytes=32 time=94ms TTL=255
Reply from 4.4.4.4: bytes=32 time=104ms TTL=255
Reply from 4.4.4.4: bytes=32 time=97ms TTL=255

Ping statistics for 4.4.4.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 83ms, Maximum = 104ms, Average = 94ms

C:\Users\root>
какие icmp увидел при этом сервер:

Код
R4#
*Mar  1 00:48:19.599: ICMP: echo reply sent, src 4.4.4.4, dst 192.168.10.2
*Mar  1 00:48:20.603: ICMP: echo reply sent, src 4.4.4.4, dst 192.168.10.2
*Mar  1 00:48:21.615: ICMP: echo reply sent, src 4.4.4.4, dst 192.168.10.2
*Mar  1 00:48:22.635: ICMP: echo reply sent, src 4.4.4.4, dst 192.168.10.2
R4#
как видно - ip клиента.


вывод - никаких пробросов на пограничной циске.
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
25.05.2013, 22:25  [ТС] 11
Jabbson
т.е. достаточно открыть порты на cisco и проверить чтобы провайдер их не блокировал?(некоторые провайдеры блокируют вышеуказанные порты).
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
25.05.2013, 23:10 12
в случае если у Вас сервер именно с удаленной стороны и не стоит фильтров на интерфейсе - именно так.
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
26.05.2013, 00:07  [ТС] 13
Выкладываю только access-list name_out (т.к. только его правил)

Кликните здесь для просмотра всего текста
ip access-list extended tfb_out
permit tcp 10.254.254.0 0.0.0.255 eq 3389 any
permit icmp any any
permit tcp 10.254.0.0 0.0.0.255 eq 4899 any
permit udp host 10.254.0.253 any eq ntp
permit udp host 10.254.0.253 eq snmp host (скрыл)
permit tcp 10.254.0.0 0.0.0.255 eq 22 any
permit tcp 10.254.0.0 0.0.0.255 eq telnet any
permit udp host 10.254.0.253 any eq tftp
permit udp host 10.254.0.253 any eq 1631
permit udp host 10.254.0.253 host (скрыл)
permit tcp host 10.254.0.136 host (скрыл) eq 1723
permit udp host 10.254.0.136 host (скрыл) eq 47
permit gre host 10.254.0.136 host (скрыл)
deny ip any any log


вставленное выделил жирным.
все правильно, или есть что-то что я упустил?
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
26.05.2013, 00:50 14
Что это за acl? Я не вижу его у Вас в конфиге.
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
26.05.2013, 18:01  [ТС] 15
Jabbson
в конфиге он тут:
Кликните здесь для просмотра всего текста
ip access-list extended nat
permit ip 10.254.0.0 0.0.0.255 any
permit ip 10.254.254.0 0.0.0.255 any
ip access-list extended nat-servers
permit tcp host 10.254.254.1 host (скрыл)eq domain
permit udp host 10.254.254.1 host (скрыл) eq domain
permit udp host 10.254.254.1 host (скрыл)eq domain
permit tcp host 10.254.254.1 host (скрыл) eq domain
permit tcp host 10.254.254.2 host (скрыл) eq domain
permit udp host 10.254.254.2 host (скрыл) eq domain
permit udp host 10.254.254.2 host (скрыл) eq domain
permit tcp host 10.254.254.2 host (скрыл) eq domain
permit tcp host 10.254.254.3 any eq www
permit tcp host 10.254.254.2 any eq www
permit tcp host 10.254.254.1 any eq www
permit tcp host 10.254.254.3 any eq 443
permit tcp host 10.254.254.4 any eq domain
permit tcp host 10.254.254.4 any eq www
permit tcp host 10.254.254.1 host 192.168.10.1 eq domain
permit udp host 10.254.254.1 host 192.168.10.1 eq domain
permit tcp host 10.254.254.2 host 192.168.10.1 eq domain
permit udp host 10.254.254.2 host 192.168.10.1 eq domain
ip access-list extended (скрыл)
permit tcp 10.254.254.0 0.0.0.255 eq 3389 any
permit icmp any any
permit tcp 10.254.0.0 0.0.0.255 eq 4899 any
permit udp host 10.254.0.253 any eq ntp
permit udp host 10.254.0.253 eq snmp host 10.100.192.12
permit tcp 10.254.0.0 0.0.0.255 eq 22 any
permit tcp 10.254.0.0 0.0.0.255 eq telnet any
permit udp host 10.254.0.253 any eq tftp
permit udp host 10.254.0.253 any eq 1631
permit udp host 10.254.0.253 host 10.100.192.6
deny ip any any log
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
26.05.2013, 18:13 16
применен, применен он где? этого я не вижу в конфиге.
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
26.05.2013, 18:38  [ТС] 17
М, наверное дурацкий вопрос: то, что в ACL name_out, вставлены 3 строки выделенные жирным (13 сообщение), они разве еще не применены?
В сообщении №15 - без вставленных трех строк т.к. я текст скопировал из сообщения №6.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
26.05.2013, 18:40 18
Цитата Сообщение от Farhat Посмотреть сообщение
М, наверное дурацкий вопрос: то, что в ACL name_out, вставлены 3 строки выделенные жирным (13 сообщение), они разве еще не применены?
действительно дурацкий))
и да, то, что acl создан не означает, что он применен.
0
Farhat
0 / 0 / 0
Регистрация: 24.05.2013
Сообщений: 13
26.05.2013, 18:43  [ТС] 19
Я не создавал новый ACL, я лишь правил созданный и работавший до меня. Вставлял лишь строки в нужное место а ни удалял и создавал ACL заново(на каком-то форуме учат так делать)
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,774
Записей в блоге: 3
26.05.2013, 18:54 20
Цитата Сообщение от Farhat Посмотреть сообщение
на каком-то форуме учат так делать
не ходите больше на какой-то форум - ходите или сюда или еще лучше - на cisco.com
чтобы acl имел смысл - его нужно применить на каком-либо интерфейсе:

Код
interface <interface>
ip access-group number/name {in|out}
0
26.05.2013, 18:54
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
26.05.2013, 18:54

Проброс портов Cisco 3560 (WS-C3560-24PS-S)
Здравствуйте, уважаемые специалисты! Столкнулся с проблемой, а именно: есть маршрут (интернет(белый...

CISCO ASA 5512 1вн. адрес проброс портов на др. машины
Добрый день! Помогите пожалуйста организовать следующее: Есть внешний адрес, публичный. ...

Cisco 1941 настройка
Здравствуйте обитатели форума. Стоит проблема в том, что нет на данный момент времени достаточных...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru