URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 928
[ Назад ]

Исходное сообщение
"GRE снаружи к серверу внутри на PIX'e"
Отправлено Ricardo , 16-Авг-13 11:44

Доброго времени суток всем!
Хочу разрешить на PIX GRE-траффик от клиентов (их много) снаружи к виндовому серверу с PPTP внутри, но не понимаю, как это сделать.
Нашел вот такую замечательную инструкцию:
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
В ней 4 строчки нужной мне конфигурации:
Commands to Add to All Versions
In this configuration example, the PPTP server is 192.168.201.5 (static to 10.48.66.106 inside), and the PPTP client is at 192.168.201.25 .
access-list acl-out permit gre host 192.168.201.25  host 192.168.201.5
access-list acl-out permit tcp host 192.168.201.25  host 192.168.201.5  eq 1723
static (inside,outside) 192.168.201.5  10.48.66.106 netmask 255.255.255.255 0 0
access-group acl-out in interface outside
НО!!! Умоляю, объясните мне, что значит в этом примере "the PPTP client is at 192.168.201.25" - что имеется в виду? Зачем это?
Мой внутренний сервер с PPTP имеет адрес 192.168.13.20, он сам выдает адреса по DHCP - зачем указывать адреса каких-то клиентов, разве недостаточно разрешить GRE и прописать проброс 1723 с наружного интерфейса на внутренний IP адрес?
Подскажите, пожалуйста. Заранее большое спасибо!

Содержание

GRE снаружи к серверу внутри на PIX'e,eek, 11:46 , 16-Авг-13
- GRE снаружи к серверу внутри на PIX'e,eek, 11:50 , 16-Авг-13
GRE снаружи к серверу внутри на PIX'e,GolDi, 14:34 , 16-Авг-13
- GRE снаружи к серверу внутри на PIX'e,Ricardo, 14:45 , 16-Авг-13
  - GRE снаружи к серверу внутри на PIX'e,GolDi, 15:51 , 16-Авг-13
    - GRE снаружи к серверу внутри на PIX'e,Ricardo, 16:09 , 16-Авг-13

Сообщения в этом обсуждении

"GRE снаружи к серверу внутри на PIX'e"
Отправлено eek , 16-Авг-13 11:46

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

"GRE снаружи к серверу внутри на PIX'e"
Отправлено eek , 16-Авг-13 11:50

Предыдущее сообщение мимо темы. Рука дрогнула.

"GRE снаружи к серверу внутри на PIX'e"
Отправлено GolDi , 16-Авг-13 14:34

>[оверквотинг удален]
> Хочу разрешить на PIX GRE-траффик от клиентов (их много) снаружи к виндовому
> серверу с PPTP внутри, но не понимаю, как это сделать.
> Нашел вот такую замечательную инструкцию:
> http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> В ней 4 строчки нужной мне конфигурации:
> Commands to Add to All Versions
> In this configuration example, the PPTP server is 192.168.201.5 (static to 10.48.66.106
> inside), and the PPTP client is at 192.168.201.25 .
> access-list acl-out permit gre host 192.168.201.25  host 192.168.201.5
> access-list acl-out permit tcp host 192.168.201.25  host 192.168.201.5  eq 1723
access-list acl-out permit gre any  host 192.168.201.5
access-list acl-out permit tcp any host 192.168.201.5  eq 1723
Ну вот так то попробуй.

> static (inside,outside) 192.168.201.5  10.48.66.106 netmask 255.255.255.255 0 0
> access-group acl-out in interface outside
> НО!!! Умоляю, объясните мне, что значит в этом примере "the PPTP client
> is at 192.168.201.25" - что имеется в виду? Зачем это?
> Мой внутренний сервер с PPTP имеет адрес 192.168.13.20, он сам выдает адреса
> по DHCP - зачем указывать адреса каких-то клиентов, разве недостаточно разрешить
> GRE и прописать проброс 1723 с наружного интерфейса на внутренний IP
> адрес?
> Подскажите, пожалуйста. Заранее большое спасибо!

"GRE снаружи к серверу внутри на PIX'e"
Отправлено Ricardo , 16-Авг-13 14:45

Спасибо большое!
Т.е. в моем случае окончательно команды будут выглядеть так:
access-list acl-out permit gre any host 192.168.13.20
access-list acl-out permit tcp any host 192.168.13.20 eq 1723
static (inside,outside) 192.168.201.5 х.х.х.х netmask 255.255.255.255 0 0
access-group acl-out in interface outside
Правильно?
Это будет направлять весь траффик по порту 1723 снаружи на комп 192.168.13.20 внутри?
Спасибо!

"GRE снаружи к серверу внутри на PIX'e"
Отправлено GolDi , 16-Авг-13 15:51

> Спасибо большое!
> Т.е. в моем случае окончательно команды будут выглядеть так:
>  access-list acl-out permit gre any host 192.168.13.20
>  access-list acl-out permit tcp any host 192.168.13.20 eq 1723
>  static (inside,outside) 192.168.201.5 х.х.х.х netmask 255.255.255.255 0 0
>  access-group acl-out in interface outside
access-list acl-out permit gre any host [внешний IP]
access-list acl-out permit tcp any host [внешний IP] eq 1723
static (inside,outside) [внешний IP] 192.168.13.20 netmask 255.255.255.255 0 0
access-group acl-out in interface outside
как-то так
> Правильно?
> Это будет направлять весь траффик по порту 1723 снаружи на комп 192.168.13.20
> внутри?
> Спасибо!

"GRE снаружи к серверу внутри на PIX'e"
Отправлено Ricardo , 16-Авг-13 16:09

ОК, спасибо большое!
Сейчас попробую, скажу чего как.