Avatar billede schroder Nybegynder
02. april 2002 - 00:38 Der er 12 kommentarer

VPN tunnel med Cisco 677 router

Jeg har opsat VPN Remote Access Server på Win2K Server.
Fungerer perfekt lokalt, men kan ikke burges "udefra" fordi jeg har en Cisco 677 router, som jo ikke kan mappe GRE til PPTP. Dette kan jeg læse flere steder.
Jeg har åbnet port 1723 TCP til Win2K boxen.
Der må være et trick, som kan bruges til at slippe VPN igennem den meget brugte router?
Alternativet med 2 netkort i serveren og mapping af alle porte til Win2K boxen og derefter at køre NAT på serveren er jo ikke interessant!
Er der nogen der har "tricket"??
Avatar billede silverwolf2001 Nybegynder
02. april 2002 - 00:55 #1
Tricket er:

iptables -t nat -A PREROUTING -i eth1 -p udp --dport 500 -j DNAT --to 10.0.0.5:500
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 500 -j DNAT --to 10.0.0.5:500
Avatar billede silverwolf2001 Nybegynder
02. april 2002 - 00:55 #2
iptables -t nat -A PREROUTING -p gre -j DNAT --to 10.0.0.5

Oversat til:

Forward port 500 til box

også se om det ikke vil virke, port 500 bliver brugt til at kontrollere forbindelsen med. Efter hvad jeg fandt ud af den gang jeg skulle have min linux server til at fatte det.
Avatar billede schroder Nybegynder
02. april 2002 - 09:21 #3
Tak for dit svar. Jeg forstår det dog ikke. Hvor skal jeg skrive de tre linier?? For det er ikke i routeren. Den vil ikke acceptere nogle af de tre linier. Hvordan skal dette udføres i praksis??
Avatar billede nielsvp Nybegynder
04. april 2002 - 12:23 #4
Det du skal skrive er:
set nat entry add w.x.y.z 500 0.0.0.0 500 tcp
set nat entry add w.x.y.z 500 0.0.0.0 500 udp

write
reboot

(hvor du erstatter w.x.y.z med din ip på serveren)
Avatar billede schroder Nybegynder
05. april 2002 - 00:48 #5
Den er jeg med på. Jeg har mappet port 500 tcp og udp til serveren.
Problemet er nu at man så skal bruge L2TP protokollen for at få hul igennem med VPN. Til L2TP kræves der et certifikat og selvom jeg har certifikatserveren sat op også er det UMULIGT for mig at finde ud af at give klienten det certifikat den skal bruge for at få lov at tilslutte med til VPN serveren. Jeg har læst al Microsofts dokumentation på området, men får stadig at vide at der mangler et certifikat til for at kunne tilslutte.

Er der virkelig ikke anden udvej end at købe en anden router som kan finde ud af at mappe GRE, så jeg kan køre PPTP??
Avatar billede nielsvp Nybegynder
05. april 2002 - 07:11 #6
Det er ikke alle routere der kan køre L2TP IPSec igennem NAT, men nogle Cisco kan.
Problemet er at man skal have mappet IP Protokol 50 & 51 til en ip adresse, og det er der ikke mange der understøtter.

Hvis du vil prøve med certifikatet, så kan du jo selv udstede et certifikat inde i certificate services og så gemme den på en diskette el maile den og så prøve.

eller http://servername/certsrv for at issue et certifikat.
Avatar billede ket Nybegynder
17. juni 2002 - 12:54 #7
prøv med denne
set nat enrty add <intern ip> 0 <extren ip> 0 47
set nat enrty add <interne ip 1723 <extren ip > 1723 tcp
Avatar billede schroder Nybegynder
17. juni 2002 - 14:24 #8
set nat enrty add <intern ip> 0 <extern ip> 0 47
kan du IKKE lave. Den kommando accepterer Cisco 677 IKKE!
Avatar billede ket Nybegynder
25. juni 2002 - 00:59 #9
set nat entry add <intern IP> 1723 <Ekstern IP> 1723 tcp
set nat entry add <intern IP> 1723 <Ekstern IP> 1723 udp
set nat entry add <intern IP> 1723 <Ekstern IP> 1723 47
set nat entry add <intern IP> 0 <Ekstern IP> 0 47
write
reboot
og hvis din router ikke kan tage det skal op opdater firmware i den
det virker nemlig her!! efter jeg opdater firmware i min :o)
Avatar billede jynson Nybegynder
29. september 2003 - 18:04 #10
jeg har en cisco 678 router med firmware nr. 2.4.6 og det virker ikke :(
Hvad firmware version har du?
Jeg har prøvet at åbne alle de ovenstående settings og det virker ikke :(
Avatar billede ket Nybegynder
29. september 2003 - 18:20 #11
hmm det skal  det det virker på min hvad skriver din router når du taster det ind?????
Avatar billede jynson Nybegynder
30. september 2003 - 07:34 #12
den skriver ikke noget tilbage
men jeg kan se at porte er åbnet og route videre til den target PC ved at bruge show nat command.
10.0.0.3:1723  x.x.x.x:1723        0  0x00041  47    eth0 wan0-0
10.0.0.3:1723  x.x.x.x:1723        0  0x00041  udp  eth0 wan0-0
10.0.0.3:1723  x.x.x.x:1723        0  0x00041  tcp  eth0 wan0-0
10.0.0.3:0    x.x.x.x:0            0  0x00041  47    eth0 wan0-0

Når jeg logge på min VPN på arbejdet får jeg bedsked om at log in is successful, men jeg kan ikke mount drev og hellere ikke at se vores eget internal web-side.
Men hvis jeg bruger modem til at dial up til en ISP, så virker det fint, ingen problem.
Det har tidligere virket og efter firmware opgraderingen til 2.4.6 virker det desværre ikke mere :(
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

Cognizant Technology Solutions Denmark ApS

Energy Trading Project Manager – Consulting

MAN Energy Solutions

Principal Expert DevOps

Dynamicweb Software A/S

Solution Architect