cisco1811имеется сервер в центральном офисе, к нему требуется обеспечить доступ как по впн-каналам из других офисов, так и доступ по порту для разного рода пунктов
для определенности в качестве сервиса возьмем терминал (rdp 3389)
так вот при пробросе порта с внешнего ip на порт сервера во внутренней сети доступ по впн каналам обламывается. убираешь маппинг-работает, добавляешь - не работает
кусочки лога
(в данной конфигурации используются "кривые" порты, т.е. на внешнем интерфейсе исп 80, а транслируется на 3389, если прямые -- тоже самое)
во всех акцес-листах на все дени стоит log, но дропов по моему поводу не наблюдаю
external_ip -- мой внешний ip
external_gw - ik.p
192.168.8.0 - сетка за циской1811
192.168.2.0 - сетка длинком804
IP NAT detailed debugging is on
IP NAT PORT debugging is on
IP NAT IPsec debugging is on
ломлюсь на порт
NAT*: o: tcp (vpn-end, 65421) -> (external_ip, 80) [43992]
NAT*: TCP s=65421, d=80->3389
NAT*: s=vpn-end, d=external_ip->192.168.8.6 [43992]
NAT*: i: tcp (192.168.8.6, 3389) -> (vpn-end, 65421) [22244]
NAT*: TCP s=3389->80, d=65421
NAT*: s=192.168.8.6->external_ip, d=vpn-end [22244]
NAT*: o: tcp (vpn-end, 65421) -> (external_ip, 80) [44007]
ломлюсь на порт через впн
NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22388]
NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22388]
NAT*: TCP s=3389->80, d=23089
NAT*: s=192.168.8.6->external_ip, d=192.168.2.2 [22388]
NAT*: i: tcp (192.168.8.6, 3389) -> (192.168.2.2, 23089) [22390]
NAT*: TCP s=3389->80, d=23089
NAT*: s=192.168.8.6->external_ip, d=192.168.2.2 [22390]
собственно это все что есть показать
акцес-лист:
access-list 1 permit 192.168.8.0 0.0.0.255
access-list 100 deny ip external_gw 0.0.0.7 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 101 permit udp host vpn-end host external_ip eq non500-isakmp
access-list 101 permit udp host vpn-end host external_ip eq isakmp
access-list 101 permit esp host vpn-end host external_ip
access-list 101 permit ahp host vpn-end host external_ip
access-list 101 permit udp host 212.44.130.6 eq domain host external_ip
access-list 101 permit tcp any host external_ip eq www
access-list 101 deny ip 192.168.8.0 0.0.0.255 any
access-list 101 permit icmp any host external_ip echo-reply
access-list 101 permit icmp any host external_ip time-exceeded
access-list 101 permit icmp any host external_ip unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
access-list 102 deny ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
access-list 102 deny ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 102 permit ip 192.168.8.0 0.0.0.255 any
access-list 2000 permit ip 192.168.8.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 2000 permit ip 192.168.2.0 0.0.0.255 192.168.8.0 0.0.0.255
акцес-лист незатейливо сбацан СДМ-ом, приведен без ремарок
куда рыть?
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
on 22-Авг-07, 13:48 
