отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Настройка PPTP на cisco 1921

Приветствую, комрады!

Cisco приходится настраивать не часто, поэтому прошу помощи у знающих коллег. Задача довольно тривиальная, поэтому верноятно кто-то уже настраивал подобное и сможет подсказать, как сделать и пояснить некоторые моменты.

Есть Cisco 1921

Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.1(2)T2, RELEASE SOFTWARE (fc1)

Technical Support: http://www.cisco.com/techsupport

Copyright (c) 1986-2010 by Cisco Systems, Inc.

Compiled Fri 22-Oct-10 23:32 by prod_rel_team

ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)

dbt_vlg uptime is 1 hour, 16 minutes

System returned to ROM by reload at 05:32:34 UTC Wed Jan 15 2014

System image file is "usbflash0:c1900-universalk9-mz.SPA.151-2.T2.bin"

Last reload type: Normal Reload

Last reload reason: Reload Command

Задача простая: Поднять интернет соединение на ней и раздавать инет в сеть.

Провайдер выдает белый IP по PPTP соединению, поэтому нужно настраивать vpdn на cisco, насколько я понял.

Я "нагуглил" инфы по данному вопросу и попробоавл собрать все воедино. Циска чистая, поэтому настройка с нуля. Создание юзера и т.д. описываьт не убду, по ним вопросов нет. Вопросы есть касательно двух интерфейсов: первый GigabyteEthernet0/0 в который я втыкнул локальную сеть и второй GigabyteEthernet0/1 в который будет вставлен провод от провайдера.

С настройкой первого порта вроде проблем нет и делается все стандартно:

Router(config)# interface GigabyteEthernet0/0
Router(config-if)# ip address 192.168.0.1 255.255.255.0 Router(config-if)#  description LAN Router(config-if)# no shutdown Router(config-if)#exit
Router(config)# ip name-server 192.168.0.2  'DNSы
Router(config)# ip domain-name 'мой домен' 

Так же нашел инфу по настройке vpdn, чтобы было соединение с pptp-сервером.

Включаем и настраиваем vpdn (Virtual Private Dialup Network):

cisco(config)#service internal

! Включаем vpdn

cisco(config)#vpdn enable

! Создаем группу с номером 1

cisco(config)#vpdn-group 1

cisco(config-vpdn)#request-dialin

! Указываем протокол соединения

cisco(config-vpdn-req-in)#protocol pptp

cisco(config-vpdn-req-in)#rotary-group 0

! Указываем VPN сервер

cisco(config-vpdn)#initiate-to ip _vpn_server_ip_

! Настраиваем интерфейс VPN-клиента

cisco(config)#interface Dialer0

! Указываем mtu

cisco(config-if)#mtu 1440

! Автоматически получать IP адрес

cisco(config-if)#ip address negotiated

! Благодаря данной команде наш интерфейс будет всегда в состоянии "up"

cisco(config-if)#ip pim dense-mode

! Выставляем инкапсуляцию ppp

cisco(config-if)#encapsulation ppp

cisco(config-if)#dialer in-band

cisco(config-if)#dialer idle-timeout 0

cisco(config-if)#dialer string 123

cisco(config-if)#dialer vpdn

! Номер dialer-list'а - для просмотра подходящих данных

cisco(config-if)#dialer-group 1

! Отрубаем поддержку cisco discovery protocol на этом интерфейсе

cisco(config-if)#no cdp enable

! Указываем логин и пароль для аутентификации

cisco(config-if)#ppp chap hostname _login_

cisco(config-if)#ppp chap password 0 _password_


И добавляем dialer-list, где будут задаваться типы данных (в нашем случае – весь протокол IP), которые будут заставлять циску устанавливать соединение:

cisco(config)#dialer-list 1 protocol ip permit

Вроде вся настройка.

Мне немного не понятно, как нужно настроить второй сетевой интерфейс куда будет втыкнул шнур от провайдера и как Dialer0 поймет по какому сетевому интерфейсу пытаться соедениться, ведь в настройках vpdn нигде не указан интерфейс.

Если кто-то настраивал подобное у себя и может подсобить советом, буду признателен.

Теги (4)
3 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Re: Настройка PPTP на cisco 1921

Добрый день Сергей. Не забудте еще добавить нужные маршруты:

К примеру если ваш PPTP сервер на стороне провайдера(

_vpn_server_ip_) = 10.0.0.1

ip route 0.0.0.0 0.0.0.0 Dialer0

# на тот случай если между вами и провайдером нет никакой IP адресации

ip route 10.0.0.1 255.255.255.255 ваш_интерфейс_к_провайдеру

# Если же у вас есть адресация к примеру у вас 192.168.0.1 а провайдер 192.168.0.2 а PPTP сервер 10.0.0.1 то

ip route 10.0.0.1 255.255.255.255 192.168.0.2 name isp_pptp_server



-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: Настройка PPTP на cisco 1921

что касается раздачи интернета в сеть.

interface dialer 0

ip nat outside

!

interface GigabyteEthernet0/0

ip nat inside

!

ip access-list extended internet_to_lan

permit ip 192.168.0.0 0.0.0.255 any

!

ip nat inside source list internet_to_lan interface dialer 0 overload

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

Сообщение отредактировал: Vitaliy Zinatov

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: Настройка PPTP на cisco 1921

Технически, можно вешать и на внутренний интерфейс. Тут какая ситуация: данная фича ловит проходящий мимо в любую сторону SYN пакет и меняет в нем значение MSS. Пакет проходит и через LAN, и через WAN интерфейсы, так что любая точка применения сработает, но так как фича включается именно ради WAN, имеет смысл настраивать ее на нем. LAN интерфейсов может быть несколько, они могут общаться друг с другом (понижать MSS не требуется) и т.д.

Но у вас значение MSS было выставлено слишком большим, реальный MTU на WAN интерфейсе ниже (я забыл, что там PPTP, а не PPPOE), отсюда избыточная фрагментация.

45 ОТВЕТ.

Настройка PPTP на cisco 1921

"Мне немного не понятно, как нужно настроить второй сетевой интерфейс куда будет втыкнул шнур от провайдера"

Ммм... Как провайдер скажет. Надо, чтобы был транспорт до "_vpn_server_ip_". Статика/DHCP, маршрут до сервера.

"как Dialer0 поймет по какому сетевому интерфейсу пытаться соедениться"

Через виртуальный аналог show ip route x.x.x.x.

New Member

Настройка PPTP на cisco 1921

1. Спасибо, понял. Данные от провайдера есть, так что получается просто настроить по аналогии с первым интерфейсом.

2. Можно по подробнее про виртуальный аналог. Нужно сделать какие-то дополнительные действия, помимо описанных в первом посте?

Настройка PPTP на cisco 1921

1. Да.

2. Ну я грубо говоря... Вот есть виртуальный интерфейс. Ему все равно, к какому физическому интерфейсу привязываться, ему главное чтобы трафик достиг VPN сервера. Он передает роутеру пакет, роутер по таблице маршрутизации смотрит, куда его послать. То есть главное, чтобы VPN сервер просто был доступен.

New Member

Настройка PPTP на cisco 1921

Понял, спасибо. Будем пробовать.

Re: Настройка PPTP на cisco 1921

Добрый день Сергей. Не забудте еще добавить нужные маршруты:

К примеру если ваш PPTP сервер на стороне провайдера(

_vpn_server_ip_) = 10.0.0.1

ip route 0.0.0.0 0.0.0.0 Dialer0

# на тот случай если между вами и провайдером нет никакой IP адресации

ip route 10.0.0.1 255.255.255.255 ваш_интерфейс_к_провайдеру

# Если же у вас есть адресация к примеру у вас 192.168.0.1 а провайдер 192.168.0.2 а PPTP сервер 10.0.0.1 то

ip route 10.0.0.1 255.255.255.255 192.168.0.2 name isp_pptp_server



-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: Настройка PPTP на cisco 1921

что касается раздачи интернета в сеть.

interface dialer 0

ip nat outside

!

interface GigabyteEthernet0/0

ip nat inside

!

ip access-list extended internet_to_lan

permit ip 192.168.0.0 0.0.0.255 any

!

ip nat inside source list internet_to_lan interface dialer 0 overload

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

Сообщение отредактировал: Vitaliy Zinatov

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Настройка PPTP на cisco 1921

Не заработало, видимо я что-то, где-то упустил.

Вот конфиг который щас крутится на cisco:

#show run

Building configuration...

Current configuration : 2175 bytes

!

version 15.1

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

service internal

no service dhcp

!

hostname dbt_vlg

!

boot-start-marker

boot-end-marker

!

!

enable password 7 035D0A5A0506324F41

!

aaa new-model

!

!

aaa authentication login default local

aaa authorization exec default local

!

!

!

!

!

aaa session-id common

!

!

no ipv6 cef

ip source-route

ip cef

!

!

!

ip multicast-routing

!

!

ip domain name donbiotech.local

ip name-server 192.168.0.3

ip name-server 8.8.8.8

ip inspect WAAS flush-timeout 10

!

multilink bundle-name authenticated

!

vpdn enable

!

vpdn-group 1

request-dialin

  protocol pptp

  rotary-group 0

initiate-to ip 192.168.12.252

!

crypto pki token default removal timeout 0

!

!

license **********

license **********

license **********

!

!

username ***** privilege 15 secret 5 *********.

!

redundancy

!

!

!

!

ip ssh version 1

!

!

!

!

!

!

!

interface GigabitEthernet0/0

description LAN

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

duplex auto

speed auto

!

interface GigabitEthernet0/1

no ip dhcp client request router

ip address dhcp

duplex auto

speed auto

!

interface Dialer0

mtu 1450

ip address negotiated

ip pim dense-mode

ip nat outside

ip virtual-reassembly in

encapsulation ppp

dialer in-band

dialer idle-timeout 0

dialer string 123

dialer vpdn

dialer-group 1

ppp chap hostname *****

ppp chap password 7 ******

no cdp enable

!

ip forward-protocol nd

!

no ip http server

no ip http secure-server

!

ip nat inside source list internet_to_lan interface Dialer0 overload

ip route 0.0.0.0 0.0.0.0 Dialer0

ip route 192.168.12.252 255.255.255.255 GigabitEthernet0/1

!

ip access-list extended internet_to_lan

permit ip 192.168.0.0 0.0.0.255 any

!

dialer-list 1 protocol ip permit

!

!

!

!

!

!

!

control-plane

!

!

line con 0

line aux 0

line vty 0

transport input all

line vty 1

exec-timeout 30 0

privilege level 15

transport input ssh

line vty 2 4

transport input all

!

scheduler allocate 20000 1000

end

Как выяснилось pptp сервер куда цеплятся находится в другой подсети, нежели адрес который получает циска от провайдера.

#show dhcp lease

Temp IP addr: 192.168.79.39  for peer on Interface: GigabitEthernet0/1

Temp  sub net mask: 255.255.255.0

   DHCP Lease server: 192.168.55.1, state: 5 Bound

   DHCP transaction id: 1519

   Lease: 259200 secs,  Renewal: 129600 secs,  Rebind: 226800 secs

На всякий случай добавил строку ip route 192.168.12.252 255.255.255.255 GigabitEthernet0/1

Интерфейс поднят и работает:

GigabitEthernet0/1 is up, line protocol is up

  Hardware is CN Gigabit Ethernet, address is 4c00.8202.8ac1 (bia 4c00.8202.8ac1                                             )

  Internet address is 192.168.79.39/24

  MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,

     reliability 255/255, txload 1/255, rxload 1/255

  Encapsulation ARPA, loopback not set

  Keepalive set (10 sec)

  Full Duplex, 100Mbps, media type is RJ45

  output flow-control is unsupported, input flow-control is unsupported

  ARP type: ARPA, ARP Timeout 04:00:00

  Last input 00:00:00, output 00:00:08, output hang never

  Last clearing of "show interface" counters never

  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

  Queueing strategy: fifo

  Output queue: 0/40 (size/max)

  5 minute input rate 1000 bits/sec, 2 packets/sec

  5 minute output rate 0 bits/sec, 0 packets/sec

     77 packets input, 6568 bytes, 0 no buffer

     Received 77 broadcasts (0 IP multicasts)

     0 runts, 0 giants, 0 throttles

     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored

     0 watchdog, 4 multicast, 0 pause input

     18 packets output, 2661 bytes, 0 underruns

     0 output errors, 0 collisions, 0 interface resets

     0 unknown protocol drops

     0 babbles, 0 late collision, 0 deferred

     1 lost carrier, 0 no carrier, 0 pause output

     0 output buffer failures, 0 output buffers swapped out

Интерфейс Dialer0 так же в состоянии Up, но адрес не выдался, строка стоит: Internet address will be negotiated using IPCP

Dialer0 is up (spoofing), line protocol is up (spoofing)

  Hardware is Unknown

  Internet address will be negotiated using IPCP

  MTU 1450 bytes, BW 56 Kbit/sec, DLY 20000 usec,

     reliability 255/255, txload 1/255, rxload 1/255

  Encapsulation PPP, LCP Closed, loopback not set

  Keepalive set (10 sec)

  DTR is pulsed for 1 seconds on reset

  Last input never, output never, output hang never

  Last clearing of "show interface" counters 00:01:52

  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0

  Queueing strategy: weighted fair

  Output queue: 0/1000/64/0 (size/max total/threshold/drops)

     Conversations  0/0/16 (active/max active/max total)

     Reserved Conversations 0/0 (allocated/max allocated)

     Available Bandwidth 42 kilobits/sec

  5 minute input rate 0 bits/sec, 0 packets/sec

  5 minute output rate 0 bits/sec, 0 packets/sec

     0 packets input, 0 bytes

     0 packets output, 0 bytes

Но инета в сети нет, что мог упустить в конфиге ?

Re: Настройка PPTP на cisco 1921

Ну тогда проще всего:

1) Убрать предложенное мной ранее "no ip dhcp client request router"

2) Вместо "ip route 192.168.12.252 255.255.255.255 GigabitEthernet0/1" сказать "ip route 192.168.12.252 255.255.255.255 GigabitEthernet0/1 dhcp"

3) Если не заработает, то traceroute 192.168.12.252.

New Member

Re: Настройка PPTP на cisco 1921

Добрый день!

Да все заработало. Интерфейс поднялся и корректно подцепился. С циски пингуется яндекс и прочее, но в сеть интернет не раздает почему-то. На ПК который втыкнут в циску инета нету.

Re: Настройка PPTP на cisco 1921

У пк который подключен к циске какой установлен шлюз и ДНС-ы.

Далее покажите как вы настроили НАТ.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.

Re: Настройка PPTP на cisco 1921

А какой адрес и какая маска у компьютера? С него 192.168.0.1 доступен?

New Member

Re: Настройка PPTP на cisco 1921

Адрес из той же подсети. Если бы циска не была доступна, я бы не смог к ней подклчюится и проверить, что интерфейс поднялся. Консольного шнура нет, поэтому подключаюсь к ней по сети. Поэтому вероятно, что проблема с nat. Как будет возможность проверить это я скину инфу.

New Member

Re: Настройка PPTP на cisco 1921

Дельное замечание, благодарю.

У нас все адреса из 0-ой подсети, поэтому на интерфейс GigabyteEthernet0/0 указан адрес 192.168.0.1 (см. первый пост)

Адрес от провайдера получаем автоматом, получается, что на втором интерфейсе надо сделать:

Router(config)# interface GigabyteEthernet0/1

Router(config-if)# ip address dhcp

Router(config-if)# no shutdown 

Router(config-if)#exit

Но адрес выдается из 12 подсети, т.е. 192.168.12.*

PPTP сервер, который указан в #initiate-to так же находится в 12 подсети.

Получается, что к описанному в первом посте, нужно будет добавить

ip route 0.0.0.0 0.0.0.0 Dialer1

ip route *адрес pptp сервера* 255.255.255.255 GigabyteEthernet0/1

и дальше раздачу инета в сеть

interface dialer 1

ip nat outside

!

interface GigabyteEthernet0/0

ip nat inside

!

ip access-list extended internet_to_lan

permit ip 192.168.0.0 0.0.0.255 any

!

ip nat inside source list internet_to_lan interface dialer 1 overload

Верно ?

Re: Настройка PPTP на cisco 1921

Если pptp сервер тоже в 192.168.12.0/24, то статический маршрут не нужен.

И неплохо бы в gi0/1:

no ip dhcp client request router

New Member

Re: Настройка PPTP на cisco 1921

Спасибо, добавлю.

Re: Настройка PPTP на cisco 1921

Да все верно Сергей.

Раз ИП получаете автоматом из 12-ой подсети, и PPTP сервер в  12-ой сети. То доролнитнльных маршрутов не нужно для pptp. Просто один маршрут по умолчанию на Dialer 0.  И конечно же активировать NAT  для раздачи интернета в сеть внутреннюю.

Кстате у вас заработал Dialer ? Получили ИП от провайдера?

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

Сообщение отредактировал: Vitaliy Zinatov

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Настройка PPTP на cisco 1921

Dialer0 еще не удалось проверить, сегодя буду тестировать. Поскольку тестовой среды нет, то приходится это все делать в промежутки, когда народ меньше всего занят. Поэтому, стараюсь, как можно больше собрать инфы, чтобы не делать "методом тыка".

Вопрос по поводу интерфеса Dialer1.

По факту нигде до этого я про Dialer1 не писал и никак его не обозначал. Не означает ли что его нужно сначала создать? А то получается, что я задаю маршрут на новый интерфейс ip route 0.0.0.0 0.0.0.0 Dialer1

А потом просто указываю, что он внешний путем ip nat outside

Как-то его нужно же обознать до всех этих действий, как я сделал к примеру с Dialer0


Re: Настройка PPTP на cisco 1921

Все верно, поправлю сообщения. Dialer 0 должен быть.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Настройка PPTP на cisco 1921

на пк шлюз - адрес циски, днсы - циска ии гугловский

По поводу NAT я мог что-то упутить. Конфиг циски двумя постами выше, но настраивал, как вы написали.

ip nat inside source list internet_to_lan interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.12.252 255.255.255.255 GigabitEthernet0/1
!
ip access-list extended internet_to_lan
 permit ip 192.168.0.0 0.0.0.255 any

+ добавил в интерфейсы

interface GigabitEthernet0/0
 ip nat inside

interface Dialer0
 ip nat outside

Re: Настройка PPTP на cisco 1921

Поставьте на ПК  ping 8.8.8.8 -t

и на маршрутизаторе сделайте

sh ip nat translations

sh ip nat statistics

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Настройка PPTP на cisco 1921

Спасибо, как сделаю, отпишусь.

Re: Настройка PPTP на cisco 1921

Также попробуйте заменить следующее:

Уберите

ip nat inside source list internet_to_lan interface Dialer0 overload

Добавьте:

ip nat pool isp_pool

ваши_внешние_ИП ваши_внешние_ИП netmask 255.255.xxx.xxx

Если от провайдера получаете к примеру 10.10.10.0  с маской /30 то будет так

10.10.10.1 10.10.10.2 netmask 255.255.255.252

Далее:

ip nat inside source list internet_to_lan pool isp_pool overload

И для проверки в конце дописать еще:

interface GigabitEthernet0/1

ip nat outside

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Настройка PPTP на cisco 1921

По неизвестным мне причинам все заработало на текущей конфигурации, полагаю после сброса днс'ов на компьютере.

Коллеги, большое спасибо всем за помощь!

New Member

Re: Настройка PPTP на cisco 1921

Прошу небольшого уточнения по ACL. Вот у меня в конфиге есть расширеный ACL

ip access-list extended internet_to_lan
 permit ip 192.168.0.0 0.0.0.255 any

Правильно ли я понимаю что он уже работает благодаря строке:

ip nat inside source list internet_to_lan interface Dialer0 overload

и мне не нужно на интерфейс Dialer0 добавлять строку типа ip access-group internet_to_lan in

А можно просто заходит в ACL, добавлять туда нужные правила и они будут корректно работать ?

Re: Настройка PPTP на cisco 1921

Да все верно Сергей. Этим листом доступа мы просто класифицируем нужный нам траффик который требуется натить.  Вешать этот лист на интерфейс уже не нужно он используется правилом ната.

Что касается правил, если вы хотите вводить ограничения на порты и доступы, уже можете создать отдельный лист доступа и привязать его к интерфейсу.

-----------------------------------------------------------
Прошу вас оценивать и отмечать полезные для вас сообщения.
Please rate helpful answers.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: Настройка PPTP на cisco 1921

Виталий, спасибо.

New Member

Re: Настройка PPTP на cisco 1921

Приветствую, камрады!

Подсобите чуток с теорией. Вот на текущей конфигурации все работает корректно, но все входящие порты разуеется закрыты. Для того, чтобы например ко мне могли ломиться по ftp или по тому же rdp, мне нужно настроить ACL.

1. Правильно ли я понял, что вешать мне его нужно на интерфейс Dialer0, который дозванивается до провайдера, а не на реальный, куда втыкнут провод от провайдера.

2. Сам принцип добавления строк в ACL:

- я создаю лист ip access-list extended NameList и добавляю в него строки: permit tcp any host "мой внешний IP" eq 21

Эта строка позволит всем из внешки ломится ко мне по 21 порту ? Не перекроет ли это ранее созданый ACL "internet_to_lan", который используется правилом Nat'а ?

New Member

Re: Настройка PPTP на cisco 1921

Попробовал сейчас проверить описнное, но когда добавил в интерфейс Dialer0 новый ACL, путем добавления записи: ip access-group INERNET in и добавления двух строчек в этот лист, которые открывают порты ftp и rdp

permit tcp any host <внешний стат. адрес> eq 21

permit tcp any host <внешний стат. адрес> eq 3389

То почему-то пропал инет. Команда sh int Dialer0 показывает что интерфейс нормально дозвонился и получил внешний адрес, но инетрнета нет. Ни пинг ни трасерт с циски не идет. пишет что неможет распознать сайт. Как будто днсы перестали отвечать.

Re: Настройка PPTP на cisco 1921

Ну давайте разбираться с тем, что вы натворили.

Применение ACLя к интерфейсу в направлении in означает, что любой входящий пакет будет сверяться с записями в ACL (для простоты будем считать, что построчно), если совпало с permit - пакет пропустит, если совпало с deny или ни с чем не совпало - отбросит.

Вот кто-то изнутри сети обращается по UDP с адреса 10.0.0.1 и порта 12345 на адрес 8.8.8.8 и порт 53. Пакет нормально улетел наружу, отклик на DNS прилетает обратно адреса 8.8.8.8 и порта 53 на ваш внешний адрес и, возможно, порт 12345 (или какой-то другой - неважно), сверяется с обеими вашими записями в ACL и успешно отбрасывается.

Аналогично с пингами и трасертами (там протокол - ICMP).

Аналогично с TCP.

Самое ленивое решение - дописать:

permit udp any any

[починит UDP сервисы, включая DNS)

permit icmp any any

[починит пинги и трассировку]


permit tcp any any established

["ищем флаги ACK, RST и PSH, т.е. что угодно кроме первого пакета сессии, т.е. входящие соединения блокируем, но ответные пакеты по исходящим соединениям разрешаем"]

4544
Просмотры
51
Полезный материал
45
Ответы