Сообщения без ответов | Активные темы Текущее время: 04 июл 2020, 07:28



Ответить на тему  [ Сообщений: 25 ] 
Cisco 1811 и port-forwarding 
Автор Сообщение

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Доброго утра всем...
Пытаюсь сделать абсолютно тривиальную вещь, а не получается... )-:
Сразу скажу, что я не великий маг и волшебник в цисках, я только учусь (-:
До этого настраивал через SDM, выход в Интернет настроил, вроде работает, но всё равно у меня гораздо больше вопросов, чем ответов...
Суть вот в чём... Поднял на FE1 PPPoE подключение к провайдеру, весь офис работает вроде, всё хорошо. В сети есть машинка с FreeBSD, на которой крутится почта, прокся и т.п. Прежде чем подключить ещё одну линию, я решил для начала настроить доступ из вне к данной машинке: ну там ssh, smtp и т.п. Как попроще, сначала решил настроить ssh. И вот хоть убейте - не получается нифига, казалось бы, что может быть проще?! Но где-то моих мозгов не хватает всё-таки...Во вложении мой стартовый конфиг, который я как-то записал, и он работает... сделан исключительно из SDM, ничего руками я не вносил... некоторые строчки мягко говоря меня вообще в ступор вводят...
Перелопатил уйму сайтов, читал, пытался делать и ничего... )-:
Вот в частности ссылка: http://www.ifm.net.nz/cookbooks/nat.html
Но вот когда я добавляю указанные строчки, а именно:

ip access-group 101 in в Dialer0
access-list 101 permit tcp any any eq 22
ip nat inside source static tcp 10.10.10.3 22 interface dialer0 22


то работать перестаёт даже то, что сейчас работает ))))-:
Причём указанный пермит я ставлю самым первым...
Насколько я понимаю, то всё должно быть просто: пришёл пакет на внешний интерфейс по 22-му порту, то его просто надо перенаправить на адрес моего внутреннего сервака, т.е. 10.10.10.3. И ведь где-то что-то не доразрешил или перезапретил...Был бы очень признателен, если бы кто-то мне помог и подсказал, что и где удалить, добавить, заменить...
Заранее премного благодарен за помощь! (-:

Мой конфиг, т.к. вложения почему-то запрещены:

Building configuration...

Current configuration : 6629 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 <secret>
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool1
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
!
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip domain name domain.com.ua
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
!
!
crypto pki trustpoint TP-self-signed-2179960672
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2179960672
revocation-check none
rsakeypair TP-self-signed-2179960672
!
!
crypto pki certificate chain TP-self-signed-2179960672
certificate self-signed 01
3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32313739 39363036 3732301E 170D3039 30343133 30383538
33315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 31373939
36303637 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C6B1 8B0D3F42 BB357334 34C98845 8BD461F9 2B7024FB B98502FD 6BFF62E4
1704CF31 5ECF6E9F CE4AA645 9979AF0E ED919604 49077C53 690C50DF 4A7EDCB9
32ED0661 B25B0FCA 0F21D130 E10438E8 D4D374D9 915AF7FD EC9064D3 E4127689
F8376249 0926A5A9 E06544F3 5F177C12 49478E61 24507BFB FCB7E14A 5A95F89B
3E810203 010001A3 72307030 0F060355 1D130101 FF040530 030101FF 301D0603
551D1104 16301482 12726F75 7465722E 69746564 2E636F6D 2E756130 1F060355
1D230418 30168014 BEE75D0C 937D1D75 5F6FA311 B0FA7C2E BBCE7835 301D0603
551D0E04 160414BE E75D0C93 7D1D755F 6FA311B0 FA7C2EBB CE783530 0D06092A
864886F7 0D010104 05000381 81003F55 CE93C670 19FD9419 7D5979F5 A12CA3E9
55FDD4B0 F1CDC097 189DA2BE B21DDCF8 B50E2BBE CE25BF1A 3665471F B5234BAD
795268BA B8A10356 D2C67C56 670CE00D 784DD42B 4BD08DDA BDEB5E5A D9889791
112E5737 5808BBA1 C33CF114 67919EEB 42FF2CE1 6366C1F0 23D417D8 223A2247
5EAF6AE8 D132B361 A7B5C7E7 D6BC
quit
username <login> privilege 15 secret 5 <passwd>
!
!
!
!
!
!
interface FastEthernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
duplex auto
speed auto
!
interface FastEthernet1
description $FW_OUTSIDE$$ETH-WAN$
no ip address
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <login>
ppp chap password 7 <passwd>
ppp pap sent-username <login> password 7 <passwd>
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip 89.209.XXX.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any host 192.168.XX.210 eq 22
access-list 101 deny ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any host 192.168.XX.210 echo-reply
access-list 101 permit icmp any host 192.168.XX.210 time-exceeded
access-list 101 permit icmp any host 192.168.XX.210 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end


18 май 2009, 14:50
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
У вас не включен firewall: само правило DEFAULT100 есть, но не висит на интерфейсе.

Поэтому применение ACL, в котором разрешен ТОЛЬКО указанный SSH (в конце ACL стоит невидимое "запретить всё"), лишает офис интернета

Надо применить правило firewall:
int vlan 1
ip inspect DEFAULT100 in

или

int di 0
ip inspect DEFAULT100 out

Тогда заработает обратно ИНтернет

А чтобы трансляцию сделать я бы порекомендовал не использовать порт 22 внешнего интерфейса, а сделать проброс в другой порт, например 2222

ip nat inside sou static tcp 10.10.10.3 22 int di 0 2222

тогда надо будет просто обращаться на внешний адрес циски по протоколу ssh, но по порту 2222


18 май 2009, 15:14
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Спасибо за скорый ответ! (-:
Есть сдвиги, но уже другие трудности и непонятки (-:
Внёс в конфиг следующее:
interface Dialer0
....
ip inspect DEFAULT100 out
....

Потом:
ip nat inside source static tcp 10.10.10.3 22 interface Dialer0 22
....
Далее:
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any host 10.10.10.3 eq 22


Делаю исправления в текстовом файле, втавляю его через путти, вроде бы всё нормально, но делаю потом show running-config и вижу строчки стартового конфига, а не то, что я изменил, т.е. вместо:
Код:
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any host 10.10.10.3 eq 22
access-list 101 deny   ip 172.16.0.0 0.15.255.255 any


вижу:
Код:
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any host 192.168.55.210 eq 22
access-list 101 deny   ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any host 192.168.55.210 echo-reply


и только несколькими строчками ниже:
Код:
access-list 101 deny   ip any any
access-list 101 remark auto generated by Cisco SDM Express firewall configuration
access-list 101 remark SDM_ACL Category=1
access-list 101 permit tcp any any eq 22
access-list 101 permit tcp any host 10.10.10.3 eq 22

т.е. мои разрешения идут после глобального deny.
Думаю именно поэтому получаю: ssh: connect to host <bla-bla-bla> port 22: Connection refused

Как же заменить эти правила фаервола??? )-:


18 май 2009, 17:01
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Это строчки списка доступа. Они добавляются в конец, если не указать номера строк

заходите в режим конфига ACL:

ip access-l ex 101
no <номер неправильной строки>

<# нужной строки> <строка ACL>

Пример: надо удалить строку

deny ip any any

sh access-l показывает, что у этой строки номер 40

ip access-l ex 101
no 40

и добавить строку между 20 и 30

ip access-l ex 101
25 permit tcp any any eq 22


18 май 2009, 23:18
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Как менять/добавлять/удалять привила в access-list уже научился, огромное спасибо (-:
Но это почему-то не решило моих проблем ((((-:
Хотя во всём есть свой позитив: за это время я уже столько всяких команд посмотрел и кучу всякий информации, что всё интереснее и интереснее (-: Спасибо Вам (-:
Но возвращаясь к моим баранам (-:
Что у меня есть в конфиге, после всех изменений:
в Dialer0 есть ip inspect DEFAULT100 out
есть вот это:
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.3 25 interface Dialer0 25
ip nat inside source static tcp 10.10.10.3 22 interface Dialer0 22

ну я ещё для верности добавил smtp, вдруг ссх что-то мутит...
Соответственно в фаерволе первые строки для 101:
access-list 101 permit tcp any host 10.10.10.3 eq 22
access-list 101 permit tcp any host 10.10.10.3 eq smtp


Где и что я забыл? Ssh и telnet на 25 порт из вне отваливаются по тайм-ауту )))-:
Далее я начал пытаться найти какую-то информацию, проходят ли пакеты, отрабатывают ли правила, может это у меня на фре фаервол мутит...
На той же фре:
# sockstat |grep 25
root sendmail 97373 3 tcp4 *:25 *:*
# sockstat |grep 22
root sshd 902 3 tcp4 *:22 *:*


Фаервол на фре полностью открыт.
Так вот... я пытаюсь с удалённой машинки подключиться телнетом на 25й или по ссх.
В этот же момент что я вижу на Cisco:
#sh ip nat t
Pro Inside global Inside local Outside local Outside global
tcp 89.209.xx.xx:22 10.10.10.3:22 195.xx.xx.90:56615 195.xx.xx.90:56615


Т.е. пакеты приходят, но куда они деваются???

Ещё один вывод в консоли:
#sh ip nat s
Total active translations: 378 (0 static, 378 dynamic; 378 extended)
Outside interfaces:
Dialer0, Virtual-Access2
Inside interfaces:
Vlan1
Hits: 999798 Misses: 26550
CEF Translated packets: 940163, CEF Punted packets: 167677
Expired translations: 31327
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 interface Dialer0 refcount 372
Queued Packets: 0


И как вот это понимать: Total active translations: 378 (0 static, 378 dynamic; 378 extended) ???
0 static - это не отрабатывают мои ip nat inside source static ????

Куда дальше копать? ((((-:


19 май 2009, 12:36
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Конечно будут отваливаться!

ACL отрабатывает ДО NATa. Поэтому то, что вы разрешили доступ на 10.Х.Х.Х адреса ничего не даёт. Разрешить надо обращать на адрес ИНТЕРФЕЙСА

permit tcp any int di0 22


19 май 2009, 15:04
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Я правильно понял, что я должен сделать?
router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip access-l ex 101
router(config-ext-nacl)#10 permit tcp any int di0 22
^
% Invalid input detected at '^' marker.


маркер "^" находится под "int".

Насколько я понял из:
router(config-ext-nacl)# permit tcp any ?
A.B.C.D - Destination address
any - Any destination host
eq - Match only packets on a given port number
gt - Match only packets with a greater port number
host - A single destination host
lt - Match only packets with a lower port number
neq - Match only packets not on a given port number
range - Match only packets in the range of port numbers

то нету такого параметра, как "int"....


19 май 2009, 17:53
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Значит у вас, увы, старый ИОС

Либо обновляйте, либо если адрес внешнего интерфейса не меняется, то можно его явно указать.

В данном варианте надо открывать весь 22, чтобы внешние соединения прошли.


19 май 2009, 18:49
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Я сейчас мозгами тронусь (((-:
Скажу сразу: пока ещё обновлять ios не умею, сейчас бы проще ситуацию разрулить что-то не могу ))))-:
ВОт какая у меня версия:
#sh ver
Cisco IOS Software, C181X Software (C181X-ADVIPSERVICESK9-M), Version 12.4(6)T9,
RELEASE SOFTWARE (fc2)
....
ROM: System Bootstrap, Version 12.3(8r)YH12, RELEASE SOFTWARE (fc1)


Какая новая и как её ставить - ума не приложу )-:
Хотя я вот в нете нашёл несколько новых образов:
c181x-advipservicesk9-mz.124-20.T.bin
c181x-adventerprisek9-mz.124-20.T.bin
c181x-adventerprisek9-mz.124-20.T1.bin

Судя по
#sh fla
-#- --length-- -----date/time------ path
1 17481260 Jan 2 2008 02:14:30 +03:00 c181x-advipservicesk9-mz.124-6.T9.bin
у меня несколько более древняя, да? Заменить бинарник и будет мне счастье? Хотя, как по мне, лучше я куплю ещё одну флешку для экспериментов... Тогда сразу возникает вопрос: в 1811 сейчас стоит 32МБ, я в прайсе меньше 2ГБ не нашёл, сможет ли она работать с флешкой такого размера?

Ну о пока нет такой возможности, то надо что-то пытаться делать на том, что есть...
Адрес внешний не меняется, постоянный. Что я должен прописать? 10 permit tcp any host <Out_IP> eq 22?

С другой стороны, вот разве правило "permit tcp any any eq 22" в 101 не означает разрешение прохождения пакетов по 22 порту? Обязательно необходимо указание именно на внешнем интерфейсе?

Как мне открыть, как Вы сказали, весь 22, чтобы внешние соединения пошли? что может быть более открытым, чем permit tcp any any eq 22???

Неужели, чтобы сделать такой вот банальный проброс портов, необходимо обновить операционку???... у меня как-то это в голове не укладывается ))))-:

Вся надежда на Вас, больше обратиться не к кому )-:


19 май 2009, 21:21
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Без паники! :))

Минимально необходимый набор команд, чтобы зайти по ssh на внутреннее устройство с адресом 10.10.10.2

int di0
ip addr negotiated
ip nat outside

int f0/0
ip addr 10.10.10.1 255.255.255.0
ip nat inside

ip nat inside source static tcp 10.10.10.2 22 int di0 2222

Обращаемся с внешнего компа по ssh на порт 2222 (в РуТТи например так можно сделать) и попадаем на ssh внутренней машины

Теперь дальше.

Чтобы себя обезопасить и не всё снаружи пропускать, надо написать ACL, который бы пропустил только обращение по порту 2222 на внешний интерфейс

ip access-l ex OUTSIDE
perm tcp any any eq 2222

(ваша железяки или ИОС не поддерживают указание в ACL
perm tcp any int di0 eq 2222)

Теперь ACL надо привесить на вход внешнего интерфейса

int di 0
ip access-g OUTSIDE in

Но в привешенном ACL резрешено только обращаться по порту 2222 на внешний (или любой) адрес. При таком конфиге внутренние пользователи об инете могут даже не мечтать. Чтобы внутренние пользователи могли работать, надо включить динамический firewall, тогда циска начнёт сессии запоминать и снаружи пропускать ответы на эти сессии

ip inspect FW tcp
ip inspect FW udp

Правило надо привесить. Например на вход внутреннего или выход внешнего интерфейса
int di 0
ip insp FW out

или

int f0/0
ip insp FW in

Теперь всё должно работать

ЗЫ Возможно циска блокирует использование порта 22 внешнего интерфейса для использования в НАТе. Т.к. 22 порт внешнего интерфейса может использоваться для доступа по ssh на саму циску. Именно поэтому я рекомендовал бы пробрасывать 22 порт внутренней машины в другой, отличный от 22 порта. (В нашем случае в 2222)


19 май 2009, 22:30
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Да как же тут не паниковать....)))-:
В любом случае, Вам, Сергей, огромное спасибо, что нянчитесь со мной...Сергей Фёдоров, ведь я правильно понимаю? (-:
В общем, опять ничего не получилось ((((-: Вернее без изменений (-:
Цитата:
int di0
ip addr negotiated
ip nat outside

это я добавил (ip addr negotiated).

Далее:
Цитата:
int f0/0
ip addr 10.10.10.1 255.255.255.0
ip nat inside

Вот это не пошло уже с первой же строчки. Маркер указывает на "0/0", на слеш, видать такая запись не допустима.
С другой стороны 10.10.10.1 это прописывается Vlan1, по этому адресу я внутри сети захожу на циску. В этом может быть проблема?
Цитата:
ip nat inside source static tcp 10.10.10.2 22 int di0 2222

ну с этим всё понятно...
Цитата:
Обращаемся с внешнего компа по ssh на порт 2222 (в РуТТи например так можно сделать) и попадаем на ssh внутренней машины

Ну как бы вот так, с удалённой машины:
# ssh <my_IP> -p 2222 -l <login>
ssh: connect to host <my_IP> port 2222: Operation timed out


Кстати я специально ещё и 25 порт пытаюсь пробросить, чтоб проверить не только на ссх, может это действительно проблемы с 22 портом...


20 май 2009, 12:20
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Название интерфейса f0/0 - взял от балды. Вам нужен ваш внутренний интерфейс.

Не работать вообще мне кажется не может...

Попробуйте вот как:

снимите аксес-лист с интерфейса di0 вовсе. И попробуйте. Если всё так же - проблема в НАТе(может какие правила не удалили?), если связь есть - значит неправильный ACL.

Еще вспомнил: был у меня какой то глюк на 83х железке. Там с НАТом тож была ботва... Но там был Easy VPN на ней же...


20 май 2009, 15:44
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
И вообще, дабы исключить ошибки: опубликуйте плз ВЕСЬ конфиг (пароли можно не говорить). Я погляжу.

ЗЫ Да, Сергей Фёдоров


20 май 2009, 15:45
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Точно, публикую ещё раз весь свой конфиг, со всеми внесёнными изменениями, дополнениями. От ведь незадача: или сам где-то какой-то пустяк упустил, или в SDM что-то не доделал в самом начале...
Собственно:
++++++++++++++++++++++++++++++++++++++++++++++++++
Building configuration...

Current configuration : 6755 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname router
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 debugging
logging console critical
enable secret 5 ххх
!
no aaa new-model
!
resource policy
!
clock timezone PCTime 3
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
no ip source-route
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool1
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
!
!
ip tcp synwait-time 10
no ip bootp server
no ip domain lookup
ip domain name domain.com.ua
ip ssh time-out 60
ip ssh authentication-retries 2
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 esmtp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
!
!
crypto pki trustpoint TP-self-signed-2179960672
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2179960672
revocation-check none
rsakeypair TP-self-signed-2179960672
!
!
crypto pki certificate chain TP-self-signed-2179960672
certificate self-signed 01
3082024A 308201B3 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32313739 39363036 3732301E 170D3039 30343133 30383538
33315A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 31373939
36303637 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100C6B1 8B0D3F42 BB357334 34C98845 8BD461F9 2B7024FB B98502FD 6BFF62E4
1704CF31 5ECF6E9F CE4AA645 9979AF0E ED919604 49077C53 690C50DF 4A7EDCB9
32ED0661 B25B0FCA 0F21D130 E10438E8 D4D374D9 915AF7FD EC9064D3 E4127689
F8376249 0926A5A9 E06544F3 5F177C12 49478E61 24507BFB FCB7E14A 5A95F89B
3E810203 010001A3 72307030 0F060355 1D130101 FF040530 030101FF 301D0603
551D1104 16301482 12726F75 7465722E 69746564 2E636F6D 2E756130 1F060355
1D230418 30168014 BEE75D0C 937D1D75 5F6FA311 B0FA7C2E BBCE7835 301D0603
551D0E04 160414BE E75D0C93 7D1D755F 6FA311B0 FA7C2EBB CE783530 0D06092A
864886F7 0D010104 05000381 81003F55 CE93C670 19FD9419 7D5979F5 A12CA3E9
55FDD4B0 F1CDC097 189DA2BE B21DDCF8 B50E2BBE CE25BF1A 3665471F B5234BAD
795268BA B8A10356 D2C67C56 670CE00D 784DD42B 4BD08DDA BDEB5E5A D9889791
112E5737 5808BBA1 C33CF114 67919EEB 42FF2CE1 6366C1F0 23D417D8 223A2247
5EAF6AE8 D132B361 A7B5C7E7 D6BC
quit
username <user> privilege 15 secret 5 <passwd>
!
!
!
!
!
!
interface FastEthernet0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
shutdown
duplex auto
speed auto
!
interface FastEthernet1
description $FW_OUTSIDE$$ETH-WAN$
no ip address
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-FE 2$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
ip access-group 100 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1412
!
interface Async1
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
encapsulation slip
!
interface Dialer0
ip address negotiated
ip mtu 1452
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname <login>
ppp chap password 7 <passwd>
ppp pap sent-username <login> password 7 <passwd>
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.3 25 interface Dialer0 25
ip nat inside source static tcp 10.10.10.3 22 interface Dialer0 2222

!
logging trap debugging
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
access-list 100 remark auto generated by Cisco SDM Express firewall configuration
access-list 100 remark SDM_ACL Category=1
access-list 100 permit ip 89.xx.xx.0 0.0.0.255 any
access-list 100 deny ip host 255.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 permit ip any any
access-list 101 permit tcp any any eq 2222
access-list 101 permit tcp any any eq smtp

access-list 101 deny ip 10.10.10.0 0.0.0.255 any
access-list 101 permit icmp any host 192.168.55.210 echo-reply
access-list 101 permit icmp any host 192.168.55.210 time-exceeded
access-list 101 permit icmp any host 192.168.55.210 unreachable
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 deny ip any any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
!
!
control-plane
!
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
transport output telnet
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
login local
transport output telnet
line vty 0 4
privilege level 15
login local
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 4000 1000
scheduler interval 500
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end
++++++++++++++++++++++++++++++++++++++++++++++++++

Вот и весь конфиг, вроде
Курсивом - это те изменения, которые я вносил после SDM уже в CLI.
Буду рад помощи (-:


20 май 2009, 19:38
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
М-да...должно работать.


Попробуйте (шаманство, скорее всего ничем не поможет):
1. Добавить на
int f1
ip proxy-arp
ip nat outside

Ща погляжу на своих мелких рутерах, мож чего ещё вспомню.


20 май 2009, 21:18
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Да, Вы правы, не помогло (((-:
Знаете, я тут подумал, что проблемы с Vlan1....а может не с ним, я уже не знаю, куда копать...
Сделал вот что: у меня фря включена в fe2 и имеет айпишник 10.10.10.3.
В fe3 я включил винду 10.10.10.5.
Сама циска - 10.10.10.3.
Пинги через циску с 10.3 на 10.5 ходят без проблем, обратно - тоже. А вот по ссх или зателнетиться на 25 не получается )))-:
На фре:
firewall_enable="YES"
firewall_type="OPEN"

Т.е. фаерволом ничего не закрыто...
#sockstat |grep 22
root sshd 902 3 tcp4 *:22 *:*

# sockstat |grep 25
root sendmail 97373 3 tcp4 *:25 *:*

Соответствующие демоны всё слушают....
Как же ж такое может быть??? Может такое быть, что не разрешены на Vlan входящие соединения? Хотя с другой стороны на 10.5 я свободно захожу удалённым клиентом... нифига понять не могу уже (-:
Как тут не истерить??? ((((-:
Сейчас поставлю какую-то ссх на винду, может с фрёй проблемы всё-таки....хотя уже не могу представить, что ж такое может быть...


21 май 2009, 11:37
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Для пробы достаточно на виндовой машине включить удалённый рабочий стол и попытаться его прокинуть наружу (порт 3389)


21 май 2009, 12:20
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Так-то оно так, но не из этого офиса я могу зайти только по ссх...ну извне т.е.


21 май 2009, 13:14
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
А что мешает сделать команду

telnet <ip> 3389

и поглядеть, проваливается или нет?


21 май 2009, 14:10
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Было добавлено:
#ip nat inside source static tcp 10.10.10.5 3389 interface Dialer0 3389
#ip access-l ex 101
#5 permit tcp any any eq 3389

Результат такой же:
# telnet <IP> 3389
Trying <IP>...
telnet: connect to address <IP>: Operation timed out
telnet: Unable to connect to remote host


21 май 2009, 15:55
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Очень странно... Прямо таки похоже на то, что запрещено пробрасывать статиком наружу :(

Для последней проверки:

1. Снимите ACL 100 с внутреннего интерфейса
2. ПОдглядите, какой сейчас адрес на интерфейсе Di0 и создайте трансляцию:

ip nat inside sou s tcp 10.10.10.5 3389 <ip int di0> 3389

3. Проверьте


21 май 2009, 16:21
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Ещё мысль, достойная пера классика:

а не попробовать ли перенести конфиг интерфейса f1 на f0? Сдаётся мне, что может и не работать полностью НАТ на любом интерфейсе встроенного коммутатора.

ЗЫ Это догадка, но подкреплённая некоторыми соображениями. ПОпробуйте.


21 май 2009, 16:28
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
По трём пунктам: сделал, результат тот же...
Вернее правильно сделал: int vl1, no ip access-g 100 in ?
Добавил правило ната, проверил - нифига ((((-:

С переносом конфига несколько сложнее:
1. Надо, чтоб работало примерно одинаково на обоих интерфейсах, чтоб почта ходила при отвалившимся любом канале (как только сделаю этот канал, подключу ещё один со статикой, не РРРоЕ)
2. Не получится сделать так просто на лету: провайдер привязывается к МАС адресу же... поэтому без общения с провайдером не получится, а если сломается вообще нафиг? ((((-:

Что-то мои лыжи не едут совсем....


21 май 2009, 18:37
Профиль

Зарегистрирован: 18 май 2009, 14:00
Сообщения: 18
Fedia, огромное спасибо, всё получилось (-:
Мои лыжи наконец-то поехали (-:
Проблема была не в циске, а в конфигурации сети, плюнул на всё, переделал и всё заработало (-:
Ещё раз, огромное спасибо (-:


26 май 2009, 16:23
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
"Лыжню, уступите парню лыжню. Скорей!
Он несется к мечте своей
В красной шапке с зеленым пумпоном
Снежный призрак судьбы моей!" (с) (из к/ф "Питер ФМ")

Удачи :)


26 май 2009, 18:37
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 25 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 32


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB