URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10749
[ Назад ]

Исходное сообщение
"Не проходит GRE (47 протокол) через маршрутизатор "

Отправлено badsectors , 14-Июн-06 14:46 
Добрый день.
Заранее прошу прошения за ламерский вопрос, цисковик из меня пока начинающий... :о)
Столкнулся с проблемой не могу завести PPTP через Cisco1841

Суть в следующем: есть маршрутизатор с тремя интерфейсами. 1 внешний G.703 (IP 81.243.160.122) и два внутренних Ethernet. Через первый Ethernet смотрит в сеть 10.0.0.x и весь траффик, предназначенный для 81.243.160.122 пробрасывает в серую подсеть 10.0.0.x. Второй (IP 81.243.156.129)является gate для белой подсети 81.243.156.129/27. Соответсвенно весь траффик для 81.243.156.129/27 проходит через 81.243.160.122 на
81.243.156.129

Поднял VPN по PPTP с IP 81.243.156.131
В ACL разрешил 47 протокол. Из с других хостов белой подсети соединяюсь нормально, из внешней сети -- ни в какую ругается именно на GRE. Перерыл все -- не могу понять, в чем грабли. Циску не я настраивал, поэтому и прошу помощи. Ниже привожу целиком свой running-config. Буду признателен за любую помощь.

cisco1841#sh run
Building configuration...

Current configuration : 5654 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname cisco1841
!
boot-start-marker
boot-end-marker
!
logging buffered 200000 debugging
logging monitor warnings
enable secret 5 $1$pXy8$kR7iSBjajBQ5oY9ghFzz6/
enable password 7 1446011F0D0A2E243C7A73
!
no aaa new-model
!
resource policy
!
clock timezone MSK 3
clock summer-time MSD recurring last Sun Mar 3:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip name-server 81.243.140.10
ip name-server 81.243.139.10
ip inspect name EXTERNAL_IN tcp
ip inspect name EXTERNAL_IN udp
ip inspect name EXTERNAL_IN icmp
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
username alex privilege 15 password 7 14461307091C393F2526373A3A41385C
!
!
controller E1 0/0/0
  framing NO-CRC4
  channel-group 0 timeslots 1-31
  description Internet
!
controller E1 0/0/1
!
!
!
interface FastEthernet0/0
  description LAN
  ip address 10.0.0.2 255.255.255.0
  ip nat inside
  no ip virtual-reassembly
  speed auto
  half-duplex
  no cdp enable
  no mop enabled
!
interface FastEthernet0/1
  description Legal_Address_Network
  ip address 81.243.xxx.xxx 255.255.255.224
  duplex auto
  speed auto
  no cdp enable
!
interface Serial0/0/0:0
  description INTERNET
  bandwidth 2048
  ip address 81.243.yyy.yyy 255.255.255.252
  ip access-group EXTERNAL_TRAFFIC_IN in
  ip access-group EXTERNAL_TRAFFIC_OUT out
  ip nat outside
  ip inspect EXTERNAL_IN out
  no ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 81.243.160.121
ip route 10.0.0.0 255.255.255.0 10.0.0.1
!
!
no ip http server
no ip http secure-server
ip nat pool natpool 81.243.160.123 81.243.160.125 netmask 255.255.255.240
ip nat inside source list 1 pool natpool overload
ip nat inside source static 10.0.0.1 81.243.yyy.yyy
!
ip access-list extended EXTERNAL_TRAFFIC_IN
permit gre any any
permit tcp any any eq ftp-data
  permit tcp any any eq ftp
  permit tcp any any eq smtp
  permit tcp any any eq domain
  permit udp any any eq domain
  permit tcp any any eq pop3
  permit tcp any any eq 443
  permit tcp any any eq lpd
  deny tcp any any eq 2080
  deny tcp any any eq 3128
  deny tcp any any eq 3306
  deny tcp any any eq 56183
  permit tcp any any gt 1024
  permit udp any any gt 1024
  permit icmp any any
  deny ip any any
ip access-list extended EXTERNAL_TRAFFIC_OUT
  permit gre any any
  permit tcp any any eq ftp-data
  permit tcp any any eq ftp
  permit tcp any any eq 22
  permit tcp any any eq smtp
  permit tcp any any eq domain
  permit udp any any eq domain
  permit tcp any any eq www
  permit tcp any any eq pop3
  permit tcp any any eq 143
  permit tcp any any eq 443
  permit tcp any any eq lpd
  permit tcp any any gt 1023
  permit udp any any gt 1023
  permit icmp any any
  deny ip any any
!

disable-eadi
!
!
control-plane
!
!
line con 0
  exec-timeout 0 0
line aux 0
line vty 0 4
  privilege level 15
  password 7 00161C13105E19390E335F715A
  login local
  transport input telnet ssh
!
no process cpu extended
no process cpu autoprofile hog
sntp server 128.9.176.30
end


Содержание

Сообщения в этом обсуждении
"Не проходит GRE (47 протокол) через маршрутизатор "
Отправлено badsectors , 19-Июн-06 13:16 
Дополнительно могу сообщить, что последовательное отключение
1. acl in
2. acl out
3. ip inspect
4. ip nat outside
ни к чему не привело. Создается такое впечатление, будто киска просто не пропускает иные протоколы кроме tcp, udp, icmp...