Добрый день.
Заранее прошу прошения за ламерский вопрос, цисковик из меня пока начинающий... :о)
Столкнулся с проблемой не могу завести PPTP через Cisco1841Суть в следующем: есть маршрутизатор с тремя интерфейсами. 1 внешний G.703 (IP 81.243.160.122) и два внутренних Ethernet. Через первый Ethernet смотрит в сеть 10.0.0.x и весь траффик, предназначенный для 81.243.160.122 пробрасывает в серую подсеть 10.0.0.x. Второй (IP 81.243.156.129)является gate для белой подсети 81.243.156.129/27. Соответсвенно весь траффик для 81.243.156.129/27 проходит через 81.243.160.122 на
81.243.156.129Поднял VPN по PPTP с IP 81.243.156.131
В ACL разрешил 47 протокол. Из с других хостов белой подсети соединяюсь нормально, из внешней сети -- ни в какую ругается именно на GRE. Перерыл все -- не могу понять, в чем грабли. Циску не я настраивал, поэтому и прошу помощи. Ниже привожу целиком свой running-config. Буду признателен за любую помощь.cisco1841#sh run
Building configuration...Current configuration : 5654 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco1841
!
boot-start-marker
boot-end-marker
!
logging buffered 200000 debugging
logging monitor warnings
enable secret 5 $1$pXy8$kR7iSBjajBQ5oY9ghFzz6/
enable password 7 1446011F0D0A2E243C7A73
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 3:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server 81.243.140.10
ip name-server 81.243.139.10
ip inspect name EXTERNAL_IN tcp
ip inspect name EXTERNAL_IN udp
ip inspect name EXTERNAL_IN icmp
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
username alex privilege 15 password 7 14461307091C393F2526373A3A41385C
!
!
controller E1 0/0/0
framing NO-CRC4
channel-group 0 timeslots 1-31
description Internet
!
controller E1 0/0/1
!
!
!
interface FastEthernet0/0
description LAN
ip address 10.0.0.2 255.255.255.0
ip nat inside
no ip virtual-reassembly
speed auto
half-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
description Legal_Address_Network
ip address 81.243.xxx.xxx 255.255.255.224
duplex auto
speed auto
no cdp enable
!
interface Serial0/0/0:0
description INTERNET
bandwidth 2048
ip address 81.243.yyy.yyy 255.255.255.252
ip access-group EXTERNAL_TRAFFIC_IN in
ip access-group EXTERNAL_TRAFFIC_OUT out
ip nat outside
ip inspect EXTERNAL_IN out
no ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 81.243.160.121
ip route 10.0.0.0 255.255.255.0 10.0.0.1
!
!
no ip http server
no ip http secure-server
ip nat pool natpool 81.243.160.123 81.243.160.125 netmask 255.255.255.240
ip nat inside source list 1 pool natpool overload
ip nat inside source static 10.0.0.1 81.243.yyy.yyy
!
ip access-list extended EXTERNAL_TRAFFIC_IN
permit gre any any
permit tcp any any eq ftp-data
permit tcp any any eq ftp
permit tcp any any eq smtp
permit tcp any any eq domain
permit udp any any eq domain
permit tcp any any eq pop3
permit tcp any any eq 443
permit tcp any any eq lpd
deny tcp any any eq 2080
deny tcp any any eq 3128
deny tcp any any eq 3306
deny tcp any any eq 56183
permit tcp any any gt 1024
permit udp any any gt 1024
permit icmp any any
deny ip any any
ip access-list extended EXTERNAL_TRAFFIC_OUT
permit gre any any
permit tcp any any eq ftp-data
permit tcp any any eq ftp
permit tcp any any eq 22
permit tcp any any eq smtp
permit tcp any any eq domain
permit udp any any eq domain
permit tcp any any eq www
permit tcp any any eq pop3
permit tcp any any eq 143
permit tcp any any eq 443
permit tcp any any eq lpd
permit tcp any any gt 1023
permit udp any any gt 1023
permit icmp any any
deny ip any any
!disable-eadi
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
privilege level 15
password 7 00161C13105E19390E335F715A
login local
transport input telnet ssh
!
no process cpu extended
no process cpu autoprofile hog
sntp server 128.9.176.30
end
Дополнительно могу сообщить, что последовательное отключение
1. acl in
2. acl out
3. ip inspect
4. ip nat outside
ни к чему не привело. Создается такое впечатление, будто киска просто не пропускает иные протоколы кроме tcp, udp, icmp...