URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19766
[ Назад ]

Исходное сообщение
"cisco 851, проброс RDP не работает через IPSec "
Отправлено vdscout , 08-Окт-09 19:05

Друзья, добрый день.
Не пойму, что-то почему не работает, подскажите, пожалуйста.
Сейчас ситуация такая:  стоят циски 851-е, держат шифрованный туннель. Сеть 192.168.100.0 уделанная, 192.168.1.0 московская. По тюленю все ходит, и DRP в том числе с удаленной сети при вот таком конфиге:
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
!
!
dot11 syslog
!
!
ip cef
no ip domain lookup
ip domain name xxx.ru
!
vpdn enable
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxx address xxx.xxx.xxx.xxx
crypto isakmp fragmentation
crypto isakmp invalid-spi-recovery
!
!
crypto ipsec transform-set TS esp-3des esp-md5-hmac
!
crypto map OUT 1 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set TS
match address to-msk
!
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address xxx.xxx.xxx.xxx 255.255.255.240
ip virtual-reassembly
duplex auto
speed auto
crypto map OUT
!
interface Vlan1
ip address 192.168.100.2 255.255.255.0
ip tcp adjust-mss 1452
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended to-msk
permit ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
!
no cdp run
!
control-plane
!
!
End
Хочу в удаленном офисе разрешить ходить по DRP из Интернета к машине 192.168.100.1, дописываю в конфиг:
interface FastEthernet4
ip nat outside
interface Vlan1
ip nat inside
ip nat inside source list NAT interface FastEthernet4 overload
ip nat inside source static tcp 192.168.100.1 3389 interface FastEthernet4 3389
ip access-list extended NAT
deny   ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
имею ситуацию:
С Интернета DRP пускает, но через канал перестал пускать. Убираю нат, соответственно пускает через канал, с Инета нет.
Хочется, чтобы и через канал DRP и с Инета пускал.
Что я забыл?
Спасибо.

Содержание

cisco 851, проброс RDP не работает через IPSec ,kyrylo, 20:41 , 08-Окт-09
- cisco 851, проброс RDP не работает через IPSec ,vdscout, 10:29 , 09-Окт-09

Сообщения в этом обсуждении

"cisco 851, проброс RDP не работает через IPSec "
Отправлено kyrylo , 08-Окт-09 20:41

>[оверквотинг удален]
>
>ip access-list extended NAT
> deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
>
>имею ситуацию:
>С Интернета DRP пускает, но через канал перестал пускать. Убираю нат, соответственно
>пускает через канал, с Инета нет.
>Хочется, чтобы и через канал DRP и с Инета пускал.
>Что я забыл?
>Спасибо.
permit esp 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255

"cisco 851, проброс RDP не работает через IPSec "
Отправлено vdscout , 09-Окт-09 10:29

>>Хочется, чтобы и через канал DRP и с Инета пускал.
>>Что я забыл?
>>Спасибо.
>
>permit esp 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
что-то не спасло ситуацию. Т.е. после конфигурирования по тюленю пускать перестал, из Интернета пускает.