cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Router 1921 no permite el acceso a puerto https externamente

Adquirí un router 1921, ya he realizado la configuración de puertos para publicación de mi sitio https, pero no me permite el acceso.

ademas realice las tareas de habilitación de acceso via ssh, telnet y http para la configuración pero no permite acceder, únicamente por consola.

me pueden ayudar a detectar la falla?

Cisco1921#sh configuration


Using 4184 out of 262136 bytes
!
! Last configuration change at 15:09:53 UTC Mon Apr 17 2017
!
!
version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco1921
!
boot-start-marker
boot-end-marker
!
!
logging buffered 51200 warnings
enable secret 5 $1$DSv8$DWunCtlgpiFLphwUGbrul/
!
no aaa new-model
!
!
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool ccp-pool
import all
network 10.10.10.0 255.255.255.128
default-router 10.10.10.1
lease 0 2
!
no ip domain lookup
ip domain name yourdomain.com
ip cef
no ipv6 cef
multilink bundle-name authenticated
!
cts logging verbose
!
crypto pki trustpoint TP-self-signed-1405902274
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1405902274
revocation-check none
rsakeypair TP-self-signed-1405902274
!
crypto pki certificate chain TP-self-signed-1405902274
certificate self-signed 01 nvram:IOS-Self-Sig#1.cer
license udi pid CISCO1921/K9 sn FJC2030L1WF
!
username alejandro privilege 15 secret 5 $1$3ytB$XxFcMHuzAe2TvPfG4xX061
!
redundancy
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description LAN
ip address 192.168.1.253 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description INTERNET
ip address 148.244.166.225 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 20 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/1 148.244.166.223 permanent
!
access-list 20 permit 192.168.1.0 0.0.0.255
access-list 23 permit 10.10.10.0 0.0.0.127
!
control-plane
!
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------

-----------------------------------------------------------------------
banner login ^C
-----------------------------------------------------------------------

!
line con 0
password ********
login
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
privilege level 15
password *******
login local
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
!
end

Cisco1921#

8 RESPUESTAS
Silver

Hola!

Hola!

Pregunta: ¿desde qué IP address estas intentando acceder? y ¿a que IP del router estas intentando ingresar? ¿puedes hacer ping con normalidad a esa IP address desde el equipo donde intentas conectarte de forma remota?

¿Usaste el crypto key generate rsa para el acceso ssh? cuando usas el comando show ip ssh o show ssh ¿qué salidas obtienes?  

---Recuerda marcar y/o calificar las respuestas útiles---

Saludos,

New Member

Se esta tratando de ingresar

Se esta tratando de ingresar a la configuración desde una IP interna 192.168.1.21

La ip del router es la 192.168.1.253.

He intentado utilizar el segmento 10.10.10.1 pero tampoco accedo a la configuración

si puedo hacer ping, de hecho como puerta de enlace funciona (192.168.1.253) y salgo a internet, pero lo que no puedo hacer es habilitar el acceso desde internet a un equipo vía el puerto 443.

Silver

¿Puedes ingresar este comando

¿Puedes ingresar este comando y darme la salida?

#show ip http server secure status

---Recuerda marcar y/o calificar las respuestas útiles---

Saludos,

New Member

Esta es la salida

Esta es la salida

Cisco1921#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5
rc4-128-sha aes-128-cbc-sha aes-256-cbc-sha dhe-aes-128-cbc-sha
dhe-aes-256-cbc-sha
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint:
HTTP secure server active session modules: ALL
Cisco1921#

Gracias por tu respuesta.

Silver

Agrega esta línea de comando

Agrega esta línea de comando y comentame si puedes autenticarte con el usuario y la contraseña que generes:

#username XXXXXXX privilege 15 secret YYYYY

---Recuerda marcar y/o calificar las respuestas útiles---

Saludos,

New Member

No, aun no me permite la

No, aun no me permite la autenticacion. habra alguna otra cosa que este limitando el acceso?

Silver

La lista de acceso que tienes

La lista de acceso que tienes en la entrada de tu conexión: access-class 23 in, solo permite los host que estén dentro del segmento: 10.10.10.0/25. Es por ello que nunca podrás conectarte desde la ip: 192.168.1.21. Adicionalmente el router debe saber como llegar a la red 10.10.10.0 porque por lo que vi en la configuración no es una red directamente conectada y tampoco veo rutas que indiquen como alcanzarla. 

Te sugeriría que agregues la red 192.168.1.0/24 permitida en la lista de acceso 23 agregando esta línea a tu router:


access-list 23 permit 192.168.1.0 0.0.0.255

Nota: Es importante que sepas que la administración por http y/o https es un riesgo de seguridad para tu red.

---Recuerda marcar y/o calificar las respuestas útiles---

Saludos,

Hola 

Hola 

Si tu configuracion es correcta, puedes utilizar SDM  (ya no muy utilizado) o CCP (el reemplazo de SDM) para entrar al router via GUI, a continuacion puedes encontrar mas informacion. Tambien verifica si tu IOS permite el acceso web.

http://www.cisco.com/en/US/products/ps9422/index.html

Router(config)#ip http server    OR

Router(config)#ip http secure-server

Router(config)#ip http authentication local

Router(config)#ip http timeout-policy idle 600 life 86400 requests 10000

Router(config)#username privilege 15 secret

Router(config)#line vty 0 4

Router(config-line)#privilege level 15

Router(config-line)#login local

Por favor no olvides calificar el comentario si es util.

:-)

52
Visitas
0
ÚTIL
8
Respuestas