Cisco router PPTP Passthrough - Netwerken

maandag 6 oktober 2008 17:35

Acties:

Topicstarter

Op locatie hebben wij op het moment een Cisco 881 Router staan deze is inmiddels geconfigureerd en werkt.
Ook hebben wij een Windows SBS2003 server draaien die VPN draait. Intern is getest en werkt de vpn. Van buitenaf is hij nog niet te bereiken hierom hebben wij de poorten 1723 en 47 in de NAT doorverwezen naar de server.

Hij is nog steeds van buitenaf niet te bereiken.

"Stilte, een gat in het geluid...."

maandag 6 oktober 2008 19:23

Acties:

Verwijderd

Hou je rekening met het feit dat 47 geen poort is maar een protocol ?

je zou dan ook permit GRE ergens in je acl moeten hebben staan aangezien protocol 47 voor GRE staat wat op zijn beurd weer "Generic routing encapsulation" betekend.

Poort 1723 hoef je hiernaast alleen als tcp toe te staan.

[ Voor 11% gewijzigd door Verwijderd op 06-10-2008 19:24 ]

maandag 6 oktober 2008 19:29

Acties:

Flapp

Topicstarter

De firewall staat uit. Moet je dan alsnog het protocol in je ACL hebben staan?

"Stilte, een gat in het geluid...."

maandag 6 oktober 2008 19:32

Acties:

Verwijderd

Er van uit gaande dat er ook geNAT wordt in de 881, moet je protocol 47 open zetten in de ACL ja

maandag 6 oktober 2008 19:32

Acties:

Flapp

Topicstarter

onder NAT rules of access rules?

"Stilte, een gat in het geluid...."

maandag 6 oktober 2008 19:34

Acties:

Verwijderd

uit mn hoofd nat rules, maar ben niet al te wakker en weet het dus niet zeker

maandag 6 oktober 2008 19:37

Acties:

Flapp

Topicstarter

Om het dus even kort samen te vatten:
Ik moet onder NAT rules een regel aanmaken
die doet: permit met als source de Small bussiness server en destination any. op het protocol GRE

"Stilte, een gat in het geluid...."

maandag 6 oktober 2008 19:41

Acties:

Verwijderd

Flapp schreef op maandag 06 oktober 2008 @ 19:37:
Om het dus even kort samen te vatten:
Ik moet onder NAT rules een regel aanmaken
die doet: permit met als source de Small bussiness server en destination any. op het protocol GRE

andersom
met als source any en als destination small bussiness

maandag 6 oktober 2008 19:59

Acties:

Flapp

Topicstarter

Als ik een nieuwe rule aanmaak. Hoe zorg ik dan dat hij in gebruik wordt genomen. Omdat bij de andere NAT rule voor vlan1 stond dat hij in gebruik was genomen door NAT.

Relevant stukje config:

code:

ip route 0.0.0.0 0.0.0.0 xx.xx.xx.57
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet4 overload
ip nat inside source static tcp 192.168.1.2 25 interface FastEthernet4 25
ip nat inside source static tcp 192.168.1.2 1723 interface FastEthernet4 1723
!
ip access-list extended vpn
 remark vpn
 remark SDM_ACL Category=2
 permit gre any host 192.168.1.2
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 192.168.1.0 0.0.0.255
no cdp run
!

[ Voor 68% gewijzigd door Flapp op 06-10-2008 20:01 ]

"Stilte, een gat in het geluid...."

maandag 6 oktober 2008 20:52

Acties:

JackBol

Security is not an option!

http://www.cisco.com/en/U...186a00800949c0.shtml#diag

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

maandag 6 oktober 2008 21:12

Acties:

ChaserBoZ_

Hm, op de 87x en 18xx forward ik alleen TCP 1723, ding snapt zelf dat GRE erbij hoort . . .

Mits niet aanvullend geblockt met ACL's uiteraard.

'Maar het heeft altijd zo gewerkt . . . . . . '

maandag 6 oktober 2008 21:47

Acties:

Flapp

Topicstarter

de firewall staat uit. en verder ook geen enkele blockende ACL.

@_DH van die guide wordt ik om eerlijk te zijn niet heel veel wijzer.

"Stilte, een gat in het geluid...."

maandag 6 oktober 2008 23:36

Acties:

JackBol

Security is not an option!

Flapp schreef op maandag 06 oktober 2008 @ 21:47:
de firewall staat uit. en verder ook geen enkele blockende ACL.

@_DH van die guide wordt ik om eerlijk te zijn niet heel veel wijzer.

Te moet de vette regeltjes uit de "Router House" configuratie overtypen (met jou adres gegeven, interfaces etc).

Kijk of het werkt met show ip nat translations.

Als het niet werkt, debuggen.

debug ip nat, probeer een sessie op te zetten en kijk wat er gebeurd.

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.