The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Cisco, VPN и внешний клиент"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 06-Фев-07, 08:54 
всем доброго времени суток!

ситуация такова:
есть VPN-сервер во внутренней сетке (ОС Windows 2000 Server SP4, для VPN используется стандартный модуль RRAS), внешний клиент, между клиентом и сервером CISCO 2611 (IOS version 12.0(7)T)

в конфиге CISCO настроен проброс портов 1723
---------------
ip nat inside source static tcp [ВНУТРЕННИЙ IP СЕРВЕРА] 1723 [ВНЕШНИЙ IP CISCO] 1723 extendable

и разрешено обмениваться по порту 1723 и протоколу GRE
исходящие соединения
---------------
access-list 101 permit tcp host [ВНУТРЕННИЙ IP СЕРВЕРА] eq 1723 any
access-list 101 permit gre host [ВНУТРЕННИЙ IP СЕРВЕРА] any

входящие соединения
---------------
access-list 112 permit tcp any host [ВНЕШНИЙ IP CISCO] eq 1723
access-list 112 permit gre any host [ВНЕШНИЙ IP CISCO]

при попытке подключения с внешнего клиента соединение устанавливается, потом долго висит сообщение "Проверка пользователя и пароля..." после чего соединения разрывается с сообщением "Удаленный сервер не отвечает. Ошибка 721"

подключение к этому же VPN из внутренних сетей происходит без проблем, несмотря на то, что сети разные и соединены между собой тоже оборудованием CISCO

в логах cisco никаких сообщений о том, что что-то не в порядке с соединением и протоколом нет

предполагаю, что проблема именно с NAT'ом и GRE...

не подскажете, люди добрые, где ещё копать и в чем может ещё быть проблема?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 06-Фев-07, 09:16 
>всем доброго времени суток!
>
>ситуация такова:
>есть VPN-сервер во внутренней сетке (ОС Windows 2000 Server SP4, для VPN
>используется стандартный модуль RRAS), внешний клиент, между клиентом и сервером CISCO
>2611 (IOS version 12.0(7)T)
>
>в конфиге CISCO настроен проброс портов 1723
>---------------
>ip nat inside source static tcp [ВНУТРЕННИЙ IP СЕРВЕРА] 1723 [ВНЕШНИЙ IP
>CISCO] 1723 extendable
>
>и разрешено обмениваться по порту 1723 и протоколу GRE
>исходящие соединения
>---------------
>access-list 101 permit tcp host [ВНУТРЕННИЙ IP СЕРВЕРА] eq 1723 any
>access-list 101 permit gre host [ВНУТРЕННИЙ IP СЕРВЕРА] any
>
>входящие соединения
>---------------
>access-list 112 permit tcp any host [ВНЕШНИЙ IP CISCO] eq 1723
>access-list 112 permit gre any host [ВНЕШНИЙ IP CISCO]
>
>при попытке подключения с внешнего клиента соединение устанавливается, потом долго висит сообщение
>"Проверка пользователя и пароля..." после чего соединения разрывается с сообщением "Удаленный
>сервер не отвечает. Ошибка 721"
>
>подключение к этому же VPN из внутренних сетей происходит без проблем, несмотря
>на то, что сети разные и соединены между собой тоже оборудованием
>CISCO
>
>в логах cisco никаких сообщений о том, что что-то не в порядке
>с соединением и протоколом нет
>
>предполагаю, что проблема именно с NAT'ом и GRE...
>
>не подскажете, люди добрые, где ещё копать и в чем может ещё
>быть проблема?
Show run на кошке
я как понял сервер за натом ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 06-Фев-07, 10:22 
да, сервер за NAT'ом, во внутренней сетке
его IP 192.168.55.29
внешние запросы VPN клиента приходят на IP с последним октетом 45 [X.X.X.45 в конфиге]

конфиг cisco такой

-----------------------------------------
interface Ethernet0/0
ip address 192.168.54.3 255.255.254.0
no ip directed-broadcast
ip nat inside
ip route-cache flow
no ip mroute-cache
ntp broadcast
!
interface Serial0/0
no ip address
no ip directed-broadcast
encapsulation frame-relay
ip route-cache flow
no ip mroute-cache
no fair-queue
cdp enable
!
interface Serial0/0.1 point-to-point
ip address 192.168.89.22 255.255.255.252
no ip directed-broadcast
frame-relay interface-dlci 16  
  class NET1
!
interface Serial0/0.2 point-to-point
ip address 192.168.89.42 255.255.255.252
ip access-group 112 in
ip access-group 111 out
no ip directed-broadcast
ip nat outside
frame-relay interface-dlci 32  
  class INTERNET
!
interface Serial0/0.3 point-to-point
ip address 192.168.89.54 255.255.255.252
no ip directed-broadcast
frame-relay interface-dlci 64  
  class NET2
!
interface Ethernet0/1
ip address 192.168.1.4 255.255.254.0
ip access-group 101 in
no ip directed-broadcast
ip nat inside
ip route-cache flow
no ip mroute-cache
!
ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
ip nat inside source list 101 pool POOL overload
ip nat inside source static tcp 192.168.55.29 1723 X.X.X.45 1723 extendable
ip nat inside source static 192.168.1.3 X.X.X.42
ip nat inside source static 192.168.54.6 X.X.X.43
ip nat inside source static 192.168.54.111 X.X.X.44
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.89.41
ip route 172.31.0.0 255.255.0.0 192.168.89.21
ip route 192.168.0.0 255.255.0.0 192.168.54.1
ip route 192.168.56.0 255.255.255.0 192.168.89.21
ip route 192.168.89.48 255.255.255.252 192.168.89.53
ip route 192.168.201.0 255.255.255.0 192.168.89.53
no ip http server
!
!
map-class frame-relay NET1
frame-relay adaptive-shaping becn
frame-relay cir 65540
frame-relay bc 16380
frame-relay be 0
frame-relay mincir 65540
frame-relay fair-queue
!
map-class frame-relay INTERNET
frame-relay adaptive-shaping becn
frame-relay cir 524300
frame-relay bc 16380
frame-relay be 0
frame-relay mincir 524300
frame-relay fair-queue
!
map-class frame-relay NET2
frame-relay adaptive-shaping becn
frame-relay cir 65540
frame-relay bc 16380
frame-relay be 0
frame-relay mincir 65540
frame-relay fair-queue
logging facility local1
logging 192.168.1.3
access-list 101 permit tcp host 192.168.1.3 any eq domain
access-list 101 permit tcp host 192.168.1.3 any eq ftp
access-list 101 permit tcp host 192.168.1.3 any eq ftp-data
access-list 101 permit tcp host 192.168.1.3 any eq www
access-list 101 permit tcp host 192.168.1.3 any eq smtp
access-list 101 permit tcp host 192.168.1.3 eq smtp any
access-list 101 permit tcp host 192.168.1.3 any eq 5999
access-list 101 permit udp host 192.168.1.3 any eq domain
access-list 101 permit udp host 192.168.1.3 eq domain 192.168.0.0 0.0.255.255
access-list 101 permit udp host 192.168.1.3 host 192.168.1.4 eq snmp
access-list 101 permit tcp host 192.168.54.6 any eq ftp
access-list 101 permit tcp host 192.168.54.6 any eq ftp-data
access-list 101 permit tcp host 192.168.54.6 any eq www
access-list 101 permit tcp host 192.168.54.6 any eq 443
access-list 101 permit tcp host 192.168.54.6 any eq 873
access-list 101 permit tcp host 192.168.54.6 any eq 3900
access-list 101 permit tcp host 192.168.54.6 any eq 5190
access-list 101 permit tcp host 192.168.54.6 any eq 5222
access-list 101 permit tcp host 192.168.54.6 any eq 5223
access-list 101 permit tcp host 192.168.54.6 any eq 7778
access-list 101 permit tcp host 192.168.54.6 any eq 8080
access-list 101 permit tcp host 192.168.54.6 any eq 8081
access-list 101 permit tcp host 192.168.54.111 any
access-list 101 permit udp host 192.168.54.111 any
access-list 101 permit icmp host 192.168.54.111 any
access-list 101 permit tcp host 192.168.55.29 eq 1723 any
access-list 101 permit gre host 192.168.55.29 any
access-list 101 permit tcp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
access-list 101 permit udp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
access-list 101 permit icmp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
access-list 101 deny   tcp 192.168.0.0 0.0.255.255 any log
access-list 101 deny   udp 192.168.0.0 0.0.255.255 any log
access-list 101 deny   icmp 192.168.0.0 0.0.255.255 any log
access-list 101 deny   ip any any log
access-list 111 remark
access-list 111 permit tcp X.X.X.40 0.0.0.7 any
access-list 111 permit udp X.X.X.40 0.0.0.7 any
access-list 111 permit icmp X.X.X.40 0.0.0.7 any
access-list 111 deny   ip any any log
access-list 112 remark
access-list 112 permit tcp any X.X.X.40 0.0.0.7 established
access-list 112 permit udp any eq ntp X.X.X.40 0.0.0.7 eq ntp
access-list 112 permit tcp any host X.X.X.42 eq smtp
access-list 112 permit tcp any eq ftp-data host X.X.X.42
access-list 112 permit udp any eq domain host X.X.X.42
access-list 112 permit tcp any eq ftp-data host X.X.X.43
access-list 112 permit tcp any eq ftp host X.X.X.43
access-list 112 permit icmp any host X.X.X.43
access-list 112 permit tcp any host X.X.X.44
access-list 112 permit udp any host X.X.X.44
access-list 112 permit icmp any host X.X.X.44
access-list 112 permit tcp any host X.X.X.45 eq 1723
access-list 112 permit gre any host X.X.X.45
access-list 112 deny   tcp any X.X.X.40 0.0.0.7 log
access-list 112 deny   udp any X.X.X.40 0.0.0.7 log
access-list 112 deny   icmp any X.X.X.40 0.0.0.7 log
access-list 112 deny   ip any any log
------------------------------------------

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 06-Фев-07, 15:54 
>да, сервер за NAT'ом, во внутренней сетке
>его IP 192.168.55.29
>внешние запросы VPN клиента приходят на IP с последним октетом 45 [X.X.X.45
>в конфиге]
>
>конфиг cisco такой
>
>-----------------------------------------
>interface Ethernet0/0
> ip address 192.168.54.3 255.255.254.0
> no ip directed-broadcast
> ip nat inside
> ip route-cache flow
> no ip mroute-cache
> ntp broadcast
>!
>interface Serial0/0
> no ip address
> no ip directed-broadcast
> encapsulation frame-relay
> ip route-cache flow
> no ip mroute-cache
> no fair-queue
> cdp enable
>!
>interface Serial0/0.1 point-to-point
> ip address 192.168.89.22 255.255.255.252
> no ip directed-broadcast
> frame-relay interface-dlci 16
>  class NET1
>!
>interface Serial0/0.2 point-to-point
> ip address 192.168.89.42 255.255.255.252
> ip access-group 112 in
> ip access-group 111 out
> no ip directed-broadcast
> ip nat outside
> frame-relay interface-dlci 32
>  class INTERNET
>!
>interface Serial0/0.3 point-to-point
> ip address 192.168.89.54 255.255.255.252
> no ip directed-broadcast
> frame-relay interface-dlci 64
>  class NET2
>!
>interface Ethernet0/1
> ip address 192.168.1.4 255.255.254.0
> ip access-group 101 in
> no ip directed-broadcast
> ip nat inside
> ip route-cache flow
> no ip mroute-cache
>!
>ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>ip nat inside source list 101 pool POOL overload
>ip nat inside source static tcp 192.168.55.29 1723 X.X.X.45 1723 extendable
>ip nat inside source static 192.168.1.3 X.X.X.42
>ip nat inside source static 192.168.54.6 X.X.X.43
>ip nat inside source static 192.168.54.111 X.X.X.44
>ip classless
>ip route 0.0.0.0 0.0.0.0 192.168.89.41
>ip route 172.31.0.0 255.255.0.0 192.168.89.21
>ip route 192.168.0.0 255.255.0.0 192.168.54.1
>ip route 192.168.56.0 255.255.255.0 192.168.89.21
>ip route 192.168.89.48 255.255.255.252 192.168.89.53
>ip route 192.168.201.0 255.255.255.0 192.168.89.53
>no ip http server
>!
>!
>map-class frame-relay NET1
> frame-relay adaptive-shaping becn
> frame-relay cir 65540
> frame-relay bc 16380
> frame-relay be 0
> frame-relay mincir 65540
> frame-relay fair-queue
>!
>map-class frame-relay INTERNET
> frame-relay adaptive-shaping becn
> frame-relay cir 524300
> frame-relay bc 16380
> frame-relay be 0
> frame-relay mincir 524300
> frame-relay fair-queue
>!
>map-class frame-relay NET2
> frame-relay adaptive-shaping becn
> frame-relay cir 65540
> frame-relay bc 16380
> frame-relay be 0
> frame-relay mincir 65540
> frame-relay fair-queue
>logging facility local1
>logging 192.168.1.3
>access-list 101 permit tcp host 192.168.1.3 any eq domain
>access-list 101 permit tcp host 192.168.1.3 any eq ftp
>access-list 101 permit tcp host 192.168.1.3 any eq ftp-data
>access-list 101 permit tcp host 192.168.1.3 any eq www
>access-list 101 permit tcp host 192.168.1.3 any eq smtp
>access-list 101 permit tcp host 192.168.1.3 eq smtp any
>access-list 101 permit tcp host 192.168.1.3 any eq 5999
>access-list 101 permit udp host 192.168.1.3 any eq domain
>access-list 101 permit udp host 192.168.1.3 eq domain 192.168.0.0 0.0.255.255
>access-list 101 permit udp host 192.168.1.3 host 192.168.1.4 eq snmp
>access-list 101 permit tcp host 192.168.54.6 any eq ftp
>access-list 101 permit tcp host 192.168.54.6 any eq ftp-data
>access-list 101 permit tcp host 192.168.54.6 any eq www
>access-list 101 permit tcp host 192.168.54.6 any eq 443
>access-list 101 permit tcp host 192.168.54.6 any eq 873
>access-list 101 permit tcp host 192.168.54.6 any eq 3900
>access-list 101 permit tcp host 192.168.54.6 any eq 5190
>access-list 101 permit tcp host 192.168.54.6 any eq 5222
>access-list 101 permit tcp host 192.168.54.6 any eq 5223
>access-list 101 permit tcp host 192.168.54.6 any eq 7778
>access-list 101 permit tcp host 192.168.54.6 any eq 8080
>access-list 101 permit tcp host 192.168.54.6 any eq 8081
>access-list 101 permit tcp host 192.168.54.111 any
>access-list 101 permit udp host 192.168.54.111 any
>access-list 101 permit icmp host 192.168.54.111 any
>access-list 101 permit tcp host 192.168.55.29 eq 1723 any
>access-list 101 permit gre host 192.168.55.29 any
>access-list 101 permit tcp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
>access-list 101 permit udp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
>access-list 101 permit icmp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
>access-list 101 deny   tcp 192.168.0.0 0.0.255.255 any log
>access-list 101 deny   udp 192.168.0.0 0.0.255.255 any log
>access-list 101 deny   icmp 192.168.0.0 0.0.255.255 any log
>access-list 101 deny   ip any any log
>access-list 111 remark
>access-list 111 permit tcp X.X.X.40 0.0.0.7 any
>access-list 111 permit udp X.X.X.40 0.0.0.7 any
>access-list 111 permit icmp X.X.X.40 0.0.0.7 any
>access-list 111 deny   ip any any log
>access-list 112 remark
>access-list 112 permit tcp any X.X.X.40 0.0.0.7 established
>access-list 112 permit udp any eq ntp X.X.X.40 0.0.0.7 eq ntp
>access-list 112 permit tcp any host X.X.X.42 eq smtp
>access-list 112 permit tcp any eq ftp-data host X.X.X.42
>access-list 112 permit udp any eq domain host X.X.X.42
>access-list 112 permit tcp any eq ftp-data host X.X.X.43
>access-list 112 permit tcp any eq ftp host X.X.X.43
>access-list 112 permit icmp any host X.X.X.43
>access-list 112 permit tcp any host X.X.X.44
>access-list 112 permit udp any host X.X.X.44
>access-list 112 permit icmp any host X.X.X.44
>access-list 112 permit tcp any host X.X.X.45 eq 1723
>access-list 112 permit gre any host X.X.X.45
>access-list 112 deny   tcp any X.X.X.40 0.0.0.7 log
>access-list 112 deny   udp any X.X.X.40 0.0.0.7 log
>access-list 112 deny   icmp any X.X.X.40 0.0.0.7 log
>access-list 112 deny   ip any any log
>------------------------------------------

access-list 112 permit tcp any X.X.X.40 0.0.0.7 established
первая строка обозначает что вот эти адреса должны инициировать соединение , если же соединение инициировано другой стороной то непройдёт. У вас как понял сервер светит адресом из этого пула ??

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 06-Фев-07, 16:02 
>>да, сервер за NAT'ом, во внутренней сетке
>>его IP 192.168.55.29
>>внешние запросы VPN клиента приходят на IP с последним октетом 45 [X.X.X.45
>>в конфиге]
>>
>>конфиг cisco такой
>>
>>-----------------------------------------
>>interface Ethernet0/0
>> ip address 192.168.54.3 255.255.254.0
>> no ip directed-broadcast
>> ip nat inside
>> ip route-cache flow
>> no ip mroute-cache
>> ntp broadcast
>>!
>>interface Serial0/0
>> no ip address
>> no ip directed-broadcast
>> encapsulation frame-relay
>> ip route-cache flow
>> no ip mroute-cache
>> no fair-queue
>> cdp enable
>>!
>>interface Serial0/0.1 point-to-point
>> ip address 192.168.89.22 255.255.255.252
>> no ip directed-broadcast
>> frame-relay interface-dlci 16
>>  class NET1
>>!
>>interface Serial0/0.2 point-to-point
>> ip address 192.168.89.42 255.255.255.252
>> ip access-group 112 in
>> ip access-group 111 out
>> no ip directed-broadcast
>> ip nat outside
>> frame-relay interface-dlci 32
>>  class INTERNET
>>!
>>interface Serial0/0.3 point-to-point
>> ip address 192.168.89.54 255.255.255.252
>> no ip directed-broadcast
>> frame-relay interface-dlci 64
>>  class NET2
>>!
>>interface Ethernet0/1
>> ip address 192.168.1.4 255.255.254.0
>> ip access-group 101 in
>> no ip directed-broadcast
>> ip nat inside
>> ip route-cache flow
>> no ip mroute-cache
>>!
>>ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>>ip nat inside source list 101 pool POOL overload
>>ip nat inside source static tcp 192.168.55.29 1723 X.X.X.45 1723 extendable
>>ip nat inside source static 192.168.1.3 X.X.X.42
>>ip nat inside source static 192.168.54.6 X.X.X.43
>>ip nat inside source static 192.168.54.111 X.X.X.44
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 192.168.89.41
>>ip route 172.31.0.0 255.255.0.0 192.168.89.21
>>ip route 192.168.0.0 255.255.0.0 192.168.54.1
>>ip route 192.168.56.0 255.255.255.0 192.168.89.21
>>ip route 192.168.89.48 255.255.255.252 192.168.89.53
>>ip route 192.168.201.0 255.255.255.0 192.168.89.53
>>no ip http server
>>!
>>!
>>map-class frame-relay NET1
>> frame-relay adaptive-shaping becn
>> frame-relay cir 65540
>> frame-relay bc 16380
>> frame-relay be 0
>> frame-relay mincir 65540
>> frame-relay fair-queue
>>!
>>map-class frame-relay INTERNET
>> frame-relay adaptive-shaping becn
>> frame-relay cir 524300
>> frame-relay bc 16380
>> frame-relay be 0
>> frame-relay mincir 524300
>> frame-relay fair-queue
>>!
>>map-class frame-relay NET2
>> frame-relay adaptive-shaping becn
>> frame-relay cir 65540
>> frame-relay bc 16380
>> frame-relay be 0
>> frame-relay mincir 65540
>> frame-relay fair-queue
>>logging facility local1
>>logging 192.168.1.3
>>access-list 101 permit tcp host 192.168.1.3 any eq domain
>>access-list 101 permit tcp host 192.168.1.3 any eq ftp
>>access-list 101 permit tcp host 192.168.1.3 any eq ftp-data
>>access-list 101 permit tcp host 192.168.1.3 any eq www
>>access-list 101 permit tcp host 192.168.1.3 any eq smtp
>>access-list 101 permit tcp host 192.168.1.3 eq smtp any
>>access-list 101 permit tcp host 192.168.1.3 any eq 5999
>>access-list 101 permit udp host 192.168.1.3 any eq domain
>>access-list 101 permit udp host 192.168.1.3 eq domain 192.168.0.0 0.0.255.255
>>access-list 101 permit udp host 192.168.1.3 host 192.168.1.4 eq snmp
>>access-list 101 permit tcp host 192.168.54.6 any eq ftp
>>access-list 101 permit tcp host 192.168.54.6 any eq ftp-data
>>access-list 101 permit tcp host 192.168.54.6 any eq www
>>access-list 101 permit tcp host 192.168.54.6 any eq 443
>>access-list 101 permit tcp host 192.168.54.6 any eq 873
>>access-list 101 permit tcp host 192.168.54.6 any eq 3900
>>access-list 101 permit tcp host 192.168.54.6 any eq 5190
>>access-list 101 permit tcp host 192.168.54.6 any eq 5222
>>access-list 101 permit tcp host 192.168.54.6 any eq 5223
>>access-list 101 permit tcp host 192.168.54.6 any eq 7778
>>access-list 101 permit tcp host 192.168.54.6 any eq 8080
>>access-list 101 permit tcp host 192.168.54.6 any eq 8081
>>access-list 101 permit tcp host 192.168.54.111 any
>>access-list 101 permit udp host 192.168.54.111 any
>>access-list 101 permit icmp host 192.168.54.111 any
>>access-list 101 permit tcp host 192.168.55.29 eq 1723 any
>>access-list 101 permit gre host 192.168.55.29 any
>>access-list 101 permit tcp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
>>access-list 101 permit udp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
>>access-list 101 permit icmp 192.168.54.0 0.0.0.255 192.168.201.0 0.0.0.255
>>access-list 101 deny   tcp 192.168.0.0 0.0.255.255 any log
>>access-list 101 deny   udp 192.168.0.0 0.0.255.255 any log
>>access-list 101 deny   icmp 192.168.0.0 0.0.255.255 any log
>>access-list 101 deny   ip any any log
>>access-list 111 remark
>>access-list 111 permit tcp X.X.X.40 0.0.0.7 any
>>access-list 111 permit udp X.X.X.40 0.0.0.7 any
>>access-list 111 permit icmp X.X.X.40 0.0.0.7 any
>>access-list 111 deny   ip any any log
>>access-list 112 remark
>>access-list 112 permit tcp any X.X.X.40 0.0.0.7 established
>>access-list 112 permit udp any eq ntp X.X.X.40 0.0.0.7 eq ntp
>>access-list 112 permit tcp any host X.X.X.42 eq smtp
>>access-list 112 permit tcp any eq ftp-data host X.X.X.42
>>access-list 112 permit udp any eq domain host X.X.X.42
>>access-list 112 permit tcp any eq ftp-data host X.X.X.43
>>access-list 112 permit tcp any eq ftp host X.X.X.43
>>access-list 112 permit icmp any host X.X.X.43
>>access-list 112 permit tcp any host X.X.X.44
>>access-list 112 permit udp any host X.X.X.44
>>access-list 112 permit icmp any host X.X.X.44
>>access-list 112 permit tcp any host X.X.X.45 eq 1723
>>access-list 112 permit gre any host X.X.X.45
>>access-list 112 deny   tcp any X.X.X.40 0.0.0.7 log
>>access-list 112 deny   udp any X.X.X.40 0.0.0.7 log
>>access-list 112 deny   icmp any X.X.X.40 0.0.0.7 log
>>access-list 112 deny   ip any any log
>>------------------------------------------
>
>access-list 112 permit tcp any X.X.X.40 0.0.0.7 established
>первая строка обозначает что вот эти адреса должны инициировать соединение , если
>же соединение инициировано другой стороной то непройдёт. У вас как понял
>сервер светит адресом из этого пула ??

access-list 111 permit tcp X.X.X.40 0.0.0.7 any
>access-list 111 permit udp X.X.X.40 0.0.0.7 any
>access-list 111 permit icmp X.X.X.40 0.0.0.7 any
>access-list 111 deny   ip any any log
вот вы их выпустили на аут

и на ин тут же закрыли эстаблиштед access-list 112 permit tcp any X.X.X.40 0.0.0.7 established

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 07-Фев-07, 08:43 
да, сервер смотрит во вне адресом из X.X.X.40 0.0.0.7, а именно X.X.X.45

к сожалению, использование в данном случае ip nat source static без указания портов мне не подходит, т.к. адрес X.X.X.45 единственный свободный из нашего пула внешних адресов и планируется использование его ещё для нескольких задач, таких как, например, синхронизация времени по протоколу ntp между несколькими станциями из внутренней сети с внешними серверами времени...
а при использовании статического NAT'а, если я не ошибаюсь, все без исключения пакеты приходящие на внешний IP CISCO, прописанный в строке
ip nat inside source static [внутренний IP сервера] [внешниий IP CISCO]
будут переправляться на внутренний IP сервера, прописанного в этой же строке.

и ещё по поводу закрытия входящих подключений access-list'ом 112
в своё время был поднят вопрос о доступе извне к нашему внутреннему web-серверу, решилось это следующими записями в конфиге cisco
ip nat inside source static tcp 192.168.50.10 80 X.X.X.45 80 extendable
access-list 101 permit tcp host 192.168.50.10 eq www any
access-list 112 permit tcp any host X.X.X.45 eq www
и всё заработало...
или тут несколько другая ситуация?

мне посоветовали почитать про ip nat с route-map - есть там что-то типа условного NAT'а, но пока ничего не нашел по этому поводу...

не подскажете, можно всё-таки каким-то образом разрешить данную ситуацию? я не большой специалист по cisco, но вот иногда приходится решать подобные задачи...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 07-Фев-07, 08:59 
>да, сервер смотрит во вне адресом из X.X.X.40 0.0.0.7, а именно X.X.X.45
>
>
>к сожалению, использование в данном случае ip nat source static без указания
>портов мне не подходит, т.к. адрес X.X.X.45 единственный свободный из нашего
>пула внешних адресов и планируется использование его ещё для нескольких задач,
>таких как, например, синхронизация времени по протоколу ntp между несколькими станциями
>из внутренней сети с внешними серверами времени...
>а при использовании статического NAT'а, если я не ошибаюсь, все без исключения
>пакеты приходящие на внешний IP CISCO, прописанный в строке
>ip nat inside source static [внутренний IP сервера] [внешниий IP CISCO]
>будут переправляться на внутренний IP сервера, прописанного в этой же строке.
>
>и ещё по поводу закрытия входящих подключений access-list'ом 112
>в своё время был поднят вопрос о доступе извне к нашему внутреннему
>web-серверу, решилось это следующими записями в конфиге cisco
>ip nat inside source static tcp 192.168.50.10 80 X.X.X.45 80 extendable
>access-list 101 permit tcp host 192.168.50.10 eq www any
>access-list 112 permit tcp any host X.X.X.45 eq www
>и всё заработало...
>или тут несколько другая ситуация?
>
>мне посоветовали почитать про ip nat с route-map - есть там что-то
>типа условного NAT'а, но пока ничего не нашел по этому поводу...
>
>
>не подскажете, можно всё-таки каким-то образом разрешить данную ситуацию? я не большой
>специалист по cisco, но вот иногда приходится решать подобные задачи...


Чисто по акцессу мой косяк , пользуюсь cbac , поэтому накосячил я вам тут , отвык уже от эстаблишед. Ща посмотрю ещё.А вообще насколько я помню для PPTP нат непроблема пройти ..ладно надо посмотреть .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 07-Фев-07, 09:08 
я так предполагаю, что PPTP то проходит, ведь соединение устанавливается, а проблема возможно с GRE протоколом... но это не больше, чем предположения, знаний , увы :(, не хватает...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 07-Фев-07, 10:04 
>я так предполагаю, что PPTP то проходит, ведь соединение устанавливается, а проблема
>возможно с GRE протоколом... но это не больше, чем предположения, знаний
>, увы :(, не хватает...


interface Ethernet0/0
ip address 192.168.54.3 255.255.254.0
no ip directed-broadcast
ip nat inside
ip route-cache flow
no ip mroute-cache
ntp broadcast
попробуйте отключить нат на этом интерфейсе , и попробывать установить PPTP , для пробы
, ведь сервер находиться за fa0/1 правильно ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 07-Фев-07, 10:56 
да, сервер находится за интерфейсом Ethernet 0/1, Ethernet 0/0 это выход в нашу другую внутреннюю сеть

отключение NAT'а на интерфейсе Ethernet 0/0 ни к чему ни привело, клиент также зависает на проверке логин/пароля и вылетает по 721 ошибке

term mon во время соединения на cisco ничего не дает - никаких сообщений об заблокированных соединениях нет, мистика какая-то :)

я тут поискал на cisco.com и наткнулся на следующий документ
http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a0080091cb9.shtml

как вы думаете, может это поможет? стОит попробовать?

p.s. огромное спасибо вам за желание помочь и ответы

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 07-Фев-07, 11:51 
>да, сервер находится за интерфейсом Ethernet 0/1, Ethernet 0/0 это выход в
>нашу другую внутреннюю сеть
>
>отключение NAT'а на интерфейсе Ethernet 0/0 ни к чему ни привело, клиент
>также зависает на проверке логин/пароля и вылетает по 721 ошибке
>
>term mon во время соединения на cisco ничего не дает - никаких
>сообщений об заблокированных соединениях нет, мистика какая-то :)
>
>я тут поискал на cisco.com и наткнулся на следующий документ
>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_white_paper09186a0080091cb9.shtml
>
>как вы думаете, может это поможет? стОит попробовать?
>
>p.s. огромное спасибо вам за желание помочь и ответы

У вас есть возможность поставить снивер на сервер ? который принимает PPTP клиента ,
что то мне кажеться что дело не в cisco.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 07-Фев-07, 12:38 
дело в том, что подключение к этому же VPN из внутренних сетей происходит без проблем, несмотря на то, что сети разные и соединены между собой тоже оборудованием CISCO, но нигде не настроен NAT


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 07-Фев-07, 13:27 
>дело в том, что подключение к этому же VPN из внутренних сетей
>происходит без проблем, несмотря на то, что сети разные и соединены
>между собой тоже оборудованием CISCO, но нигде не настроен NAT


ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
ip nat inside source list 101 pool POOL overload
Что то я не пойму ip nat inside source list 101 pool POOL overload ?
может ip nat inside source list 101 pool NGP_POOL overload - ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Cisco, VPN и внешний клиент"  
Сообщение от cobold email on 07-Фев-07, 13:40 
>>дело в том, что подключение к этому же VPN из внутренних сетей
>>происходит без проблем, несмотря на то, что сети разные и соединены
>>между собой тоже оборудованием CISCO, но нигде не настроен NAT
>
>
>ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>ip nat inside source list 101 pool POOL overload
>Что то я не пойму ip nat inside source list 101 pool
>POOL overload ?
>может ip nat inside source list 101 pool NGP_POOL overload - ?
>

вернее так
ip nat pool POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
ip nat inside source list 101 pool POOL overload

это очепятка, сорри

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 07-Фев-07, 13:55 
>>>дело в том, что подключение к этому же VPN из внутренних сетей
>>>происходит без проблем, несмотря на то, что сети разные и соединены
>>>между собой тоже оборудованием CISCO, но нигде не настроен NAT
>>
>>
>>ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>>ip nat inside source list 101 pool POOL overload
>>Что то я не пойму ip nat inside source list 101 pool
>>POOL overload ?
>>может ip nat inside source list 101 pool NGP_POOL overload - ?
>>
>
>вернее так
>ip nat pool POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>ip nat inside source list 101 pool POOL overload
>
>это очепятка, сорри

попробуйте так
с одним адресом на выход
ip nat inside source list 101 XXX45 overload
видно без метода тыка неполучиться.
я просто непомню можно ли в пуле один адресс задать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Cisco, VPN и внешний клиент"  
Сообщение от Изгой (??) on 08-Фев-07, 09:07 
>>>>дело в том, что подключение к этому же VPN из внутренних сетей
>>>>происходит без проблем, несмотря на то, что сети разные и соединены
>>>>между собой тоже оборудованием CISCO, но нигде не настроен NAT
>>>
>>>
>>>ip nat pool NGP_POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>>>ip nat inside source list 101 pool POOL overload
>>>Что то я не пойму ip nat inside source list 101 pool
>>>POOL overload ?
>>>может ip nat inside source list 101 pool NGP_POOL overload - ?
>>>
>>
>>вернее так
>>ip nat pool POOL X.X.X.45 X.X.X.46 netmask 255.255.255.248
>>ip nat inside source list 101 pool POOL overload
>>
>>это очепятка, сорри
>
>попробуйте так
>с одним адресом на выход
>ip nat inside source list 101 XXX45 overload
>видно без метода тыка неполучиться.
>я просто непомню можно ли в пуле один адресс задать.
access-list 111 remark
access-list 111 permit tcp X.X.X.40 0.0.0.7 any
access-list 111 permit udp X.X.X.40 0.0.0.7 any
access-list 111 permit icmp X.X.X.40 0.0.0.7 any
access-list 111 deny   ip any any log
вот момент прописать здесь разрешение на gre , или попробывать без этого списка , потом настроить .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Cisco, VPN и внешний клиент"  
Сообщение от TreskoFF email on 16-Мрт-07, 08:14 
Изгой извиняюсь за столь долгое молчание. (Cobold в отпуске, я за него :)

"access-list 111 remark
access-list 111 permit tcp X.X.X.40 0.0.0.7 any
access-list 111 permit udp X.X.X.40 0.0.0.7 any
access-list 111 permit icmp X.X.X.40 0.0.0.7 any
access-list 111 deny   ip any any log"

Не помогло.

При попытке напрямую заNATить внутренний сервер RAS с внешним IP,

*ip nat inside source static 192.168.55.10 x.x.x.45

всё работает! Тоесть GRE ходит в обе стороны если в access листе я открываю RAS по протоколу tcp на все порты. В access листе:
*access-list 101 permit gre host 192.168.55.10 any
access-list 101 permit tcp host 192.168.55.10 any
access-list 101 permit udp host 192.168.55.10 any

Получается что Cisco 2611 всётаки натит GRE, но только в случае полного NAT а не NAT конкретного протокола(GRE)?, т.к. добавить строчку типа:
*ip nat inside source static gre 192.168.55.10 х.х.х.45 - добавить невозможно.

На выбор только  
*tcp      Transmission Control Protocol
udp      User Datagram Protocol

Проблему буду решать покупкой дополнительного внешнего IP адреса, но всёже, может стоит сменить прошивку на более свежую?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру