Маршрутизатор Cisco подключен к WAN на Gi0 / 2 и подключен к LAN 192.168.1.0/24 на Gi0 / 0.
IP-адрес устройства DD-WRT - 192.168.1.3/24.
Я хочу, чтобы маршрутизатор DD-WRT обрабатывал входящие VPN-соединения (PPTP).
На устройстве Cisco я предполагаю, что мне нужен ACL, применяемый к входящему в Интернет-интерфейсе, TCP (и UDP?) 47 и TCP 1723, разрешенный с любого IP-адреса, и настройка входящего NAT для TCP 1723 (применяется к WAN IP?)
Запуск Config
R1#show run
Building configuration...
Current configuration : 1903 bytes
!
! Last configuration change at 01:16:34 UTC Fri Feb 22 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret *************************
enable password ****************************
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.1 192.168.2.50
!
ip dhcp pool DHCP_POOL
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 8.8.8.8
domain-name subnet2.local
!
!
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FTX1703AHBN
hw-module pvdm 0/0
!
!
!
!
redundancy
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address ****************
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 **************
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password *******************
login
transport input all
!
scheduler allocate 20000 1000
end
Конфигурация после предложенных команд
R1 # пинг 8.8.8.8
Для прерывания введите escape-последовательность.
Отправка 5 100-байтовых эхо-сообщений ICMP в 8.8.8.8, тайм-аут составляет 2 секунды: ..... Уровень успеха составляет 0 процентов (0/5)
R1 # показать пробег
Конфигурация здания ...
Текущая конфигурация: 2152 байта! ! Последнее изменение конфигурации в 01:40:48 UTC, пятница, 22 февраля 2013 г.
версия 15.1
отметки времени службы отладки дата и время мс
отметки времени службы журнал datetime мс
нет сервисного шифрования пароля
! имя хоста R1
!
маркер начала загрузки
маркер сапога
! !
включить секрет ***********************.
включить пароль **********************
! нет ааа новая модель
!
нет ipv6 cef
ip исходный маршрут
ip cef
ip dhcp исключенный-адрес 192.168.2.1
ip dhcp исключенный-адрес 192.168.2.1 192.168.2.99
ip dhcp исключенный-адрес 192.168.2.1 192.168.2.50
! пул ip dhcp DHCP_POOL
сеть 192.168.2.0 255.255.255.0
по умолчанию-маршрутизатор 192.168.2.1
dns-сервер 8.8.8.8
доменное имя subnet2.local
имя многоканального пакета аутентифицировано
тайм-аут удаления токена крипто pki по умолчанию 0
голосовая карта 0
интерфейс Embedded-Service-Engine0 / 0
нет IP-адреса
неисправность
интерфейс GigabitEthernet0 / 0
IP-адрес 192.168.1.1 255.255.255.0
ip nat внутри
виртуальная сборка ip в
дуплекс авто
скорость авто
швабра не включена
! интерфейс GigabitEthernet0 / 1
IP-адрес 192.168.2.1 255.255.255.0
дуплекс авто
скорость авто! интерфейс GigabitEthernet0 / 2
IP-адрес WAN IP XXXXXXXX
IP-группа доступа 110 в
ip nat снаружи
виртуальная сборка ip в
дуплекс авто
скорость авто! ip forward-protocol nd
нет IP http сервера
нет IP http безопасный сервер
ip nat внутри списка источников 1 интерфейс GigabitEthernet0 / 2 перегрузка
ip nat внутри источника статический tcp 192.168.1.3 1723 интерфейс GigabitEthernet0 / 2 17 23
IP-маршрут 0.0.0.0 0.0.0.0 108.162.28.169
список доступа 1 разрешение 192.168.1.0 0.0.0.255
список доступа 101 разрешить ip любой любой
список доступа 110 разрешить gre любой хост 192.168.1.3 журнал
список доступа 110 разрешить tcp любой хост 192.168.1.3 eq 1723
самолет управления
Профиль mgcp по умолчанию
привратник
неисправность
линия con 0
линия aux 0
строка 2
без символа активации
нет exec
транспорт предпочел нет
транспорт ввод все
транспортная выходная панель telnet rlogin lapb-ta mop udptn v120 ssh
стоп-биты 1
линия vty 0 4
пароль ********************
авторизоваться
транспортный ввод все! планировщик выделить 20000 1000 конец
R1 #
Дано:
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface gi0/2 overload
interface gi0/0
ip nat inside
inter gi0/2
ip nat outside
Затем вы можете перенаправить порт для DDWRT следующим образом:
ip nat inside source static tcp 192.168.1.3 1723 interface gi0/2 1723
Оказывается .. что переадресация портов для PPTP, тебе не нужно открывать порт 47, но протокол 47.
IP-протокол 47 также известен как GRE (универсальная инкапсуляция маршрутизации).
access-list 101 permit 47 any host 192.168.1.3 log
access-list 101 permit tcp any host 192.168.1.3 eq 1723
access-list 101 permit ip any any
Ты можешь применить ACL к интерфейсу:
int gi0/2
ip access-group 101 in
редактировать
Не хватало permit ip any any линия, из-за чего вы потеряли доступ к локальной сети (вероятно).