el 04-17-2017 09:35 AM - fecha de última edición 02-14-2019 03:54 PM por Hilda Arteaga
Adquirí un router 1921, ya he realizado la configuración de puertos para publicación de mi sitio https, pero no me permite el acceso.
ademas realice las tareas de habilitación de acceso via ssh, telnet y http para la configuración pero no permite acceder, únicamente por consola.
me pueden ayudar a detectar la falla?
Cisco1921#sh configuration
Using 4184 out of 262136 bytes
!
! Last configuration change at 15:09:53 UTC Mon Apr 17 2017
!
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 5 $1$DSv8$DWunCtlgpiFLphwUGbrul/
!
no aaa new-model
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.128
default-router 10.10.10.1
lease 0 2
!
no ip domain lookup
ip domain name yourdomain.com
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
cts logging verbose
!
crypto pki trustpoint TP-self-signed-1405902274
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1405902274
revocation-check none
rsakeypair TP-self-signed-1405902274
!
crypto pki certificate chain TP-self-signed-1405902274
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
license udi pid CISCO1921/K9 sn FJC2030L1WF
!
username alejandro privilege 15 secret 5 $1$3ytB$XxFcMHuzAe2TvPfG4xX061
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.253 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description INTERNET
ip address 148.244.166.225 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 20 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 148.244.166.223 permanent
!
access-list 20 permit 192.168.1.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.127
!
control-plane
!
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
-----------------------------------------------------------------------
banner login ^C
-----------------------------------------------------------------------
!
line con 0
password ********
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
privilege level 15
password *******
login local
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end
Cisco1921#
el 04-17-2017 11:01 AM
Hola!
Pregunta: ¿desde qué IP address estas intentando acceder? y ¿a que IP del router estas intentando ingresar? ¿puedes hacer ping con normalidad a esa IP address desde el equipo donde intentas conectarte de forma remota?
¿Usaste el crypto key generate rsa para el acceso ssh? cuando usas el comando show ip ssh o show ssh ¿qué salidas obtienes?
---Recuerda marcar y/o calificar las respuestas útiles---
Saludos,
el 04-17-2017 12:44 PM
Se esta tratando de ingresar a la configuración desde una IP interna 192.168.1.21
La ip del router es la 192.168.1.253.
He intentado utilizar el segmento 10.10.10.1 pero tampoco accedo a la configuración
si puedo hacer ping, de hecho como puerta de enlace funciona (192.168.1.253) y salgo a internet, pero lo que no puedo hacer es habilitar el acceso desde internet a un equipo vía el puerto 443.
el 04-17-2017 01:01 PM
¿Puedes ingresar este comando y darme la salida?
#show ip http server secure status
---Recuerda marcar y/o calificar las respuestas útiles---
Saludos,
el 04-17-2017 01:07 PM
Esta es la salida
Cisco1921#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5
rc4-128-sha aes-128-cbc-sha aes-256-cbc-sha dhe-aes-128-cbc-sha
dhe-aes-256-cbc-sha
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:
HTTP secure server active session modules: ALL
Cisco1921#
Gracias por tu respuesta.
el 04-17-2017 01:18 PM
Agrega esta línea de comando y comentame si puedes autenticarte con el usuario y la contraseña que generes:
#username XXXXXXX privilege 15 secret YYYYY
---Recuerda marcar y/o calificar las respuestas útiles---
Saludos,
el 04-17-2017 02:26 PM
No, aun no me permite la autenticacion. habra alguna otra cosa que este limitando el acceso?
el 04-18-2017 05:42 AM
La lista de acceso que tienes en la entrada de tu conexión: access-class 23 in, solo permite los host que estén dentro del segmento: 10.10.10.0/25. Es por ello que nunca podrás conectarte desde la ip: 192.168.1.21. Adicionalmente el router debe saber como llegar a la red 10.10.10.0 porque por lo que vi en la configuración no es una red directamente conectada y tampoco veo rutas que indiquen como alcanzarla.
Te sugeriría que agregues la red 192.168.1.0/24 permitida en la lista de acceso 23 agregando esta línea a tu router:
access-list 23 permit 192.168.1.0 0.0.0.255
Nota: Es importante que sepas que la administración por http y/o https es un riesgo de seguridad para tu red.
---Recuerda marcar y/o calificar las respuestas útiles---
Saludos,
el 05-05-2017 03:17 PM
Hola
Si tu configuracion es correcta, puedes utilizar SDM (ya no muy utilizado) o CCP (el reemplazo de SDM) para entrar al router via GUI, a continuacion puedes encontrar mas informacion. Tambien verifica si tu IOS permite el acceso web.
http://www.cisco.com/en/US/products/ps9422/index.html
Router(config)#ip http server OR
Router(config)#ip http secure-server
Router(config)#ip http authentication local
Router(config)#ip http timeout-policy idle 600 life 86400 requests 10000
Router(config)#username privilege 15 secret
Router(config)#line vty 0 4
Router(config-line)#privilege level 15
Router(config-line)#login local
Por favor no olvides calificar el comentario si es util.
:-)
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad