13. december 2003 - 21:55Der er
10 kommentarer og 1 løsning
Cisco 827 NAT forward med VPN
Hej.
På en Tiscali linje har jeg en 827, hvor jeg også har brug for VPN adgang. Jeg skal nu have indsat en Sonicwall efter. Det jeg gerne vil høre er, hvordan jeg kan lave et fuldt DMZ til Sonicwallen, som så overtager alt med filtre og VPN. Der skal jo nok bruges NAT på alle porte ind men hvad med VPN så. De skal jo som regel understøtte PPTP forward, så den ikke ændre i IP adresserne. Kan dette lade sig gøre. Så hvordan skal konfigurationen se ud i IOS?
Ok tak for jeres svar. Den med NAT forward kan jeg godt forstå. Når jeg så tillader esp og isakmp så behandler den VPN pakker som dette eller hvad? >>access-list 110 permit tcp any host <PUBLIC IP> eq 1723 >>access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver) De to kan jeg så ikke se hvad de skal gøre. Det er IOS 12.2
Omkring termineringen så ligger der en VPN server i den nye Sonicwall, mens klienterne udefra kobler op med en VPN software klient. Men det var måske ikke det du mente?
>>access-list 110 permit tcp any host <PUBLIC IP> eq 1723 >>access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver) >De to kan jeg så ikke se hvad de skal gøre. Det er IOS 12.2
Tillader incomming PPTP (GRE)...
>Omkring termineringen så ligger der en VPN server i den nye Sonicwall, mens <klienterne udefra kobler op med en VPN software klient. Men det var måske <ikke det du mente?
Yes... :-)
access-listen skal dog kun konfigs, hvis du allerede har en der af én eller anden grund forbyder esp, iksamp og GRE... Normalt har man dog ikke det.
Hvis du paster din konfig her, er det måske nemmere at forstå... :-) Skjul dog public IPs og passwords..
Jo hvis det kan hjælpe at se den så selvfølgelig. Der er en access-list defineret allerede, dog kun med deny på enkelte ting. Desværre ved jeg ikke meget om den her konfiguration andet end en del af det jo selvfølgelig er Tiscali's standard. Da jeg overtog det var koden ikke engang ændret. Men der har været ændret noget i det, kan jeg da se.
Public IP indgår ikke. Den må jo blive tildelt fra Tiscali, men vi har dog fast IP. Da jeg ikke ved hvor meget som er nødvendigt smider jeg hellere det hele her: --- version 12.2 no parser cache no service single-slot-reload-enable no service pad service timestamps debug datetime localtime show-timezone service timestamps log datetime localtime show-timezone service password-encryption no service dhcp ! hostname 827 ! logging buffered 8192 debugging logging rate-limit console 10 except errors logging console warnings
! clock timezone MET 1 clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00 mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 ip subnet-zero ip dhcp excluded-address 192.168.1.2 ip dhcp excluded-address 192.168.1.254 ! ip dhcp pool 827 network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 212.54.64.170 212.54.64.171 lease 0 1 ! ip ssh time-out 120 ip ssh authentication-retries 3 no ip dhcp-client network-discovery lcp max-session-starts 0 ! crypto mib ipsec flowmib history tunnel size 200 crypto mib ipsec flowmib history failure size 200 ! ! ! interface Loopback0 no ip address ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 ip nat inside no keepalive ! interface ATM0 no ip address no atm ilmi-keepalive pvc 0/35 encapsulation aal5mux ppp dialer dialer pool-member 1 ! bundle-enable dsl operating-mode ansi-dmt ! interface Dialer0 ip address negotiated ip access-group 100 in ip nat outside encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username 6xxxxx password 7 xxxx ! ip nat inside source list 1 interface Dialer0 overload ip nat inside source static tcp 192.168.1.10 4101 interface Dialer0 4101 ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23 ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80 ip classless ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.0.0 255.255.0.0 192.168.1.254 no ip http server ! access-list 1 permit 192.168.0.0 0.0.255.255 access-list 100 deny icmp any any redirect access-list 100 deny udp any any eq 19 access-list 100 deny tcp any any eq 31 syn access-list 100 deny tcp any any eq 41 syn access-list 100 deny tcp any any eq 58 syn access-list 100 deny tcp any any eq 90 syn access-list 100 deny tcp any any eq 121 syn access-list 100 deny udp any any eq 135 access-list 100 deny tcp any any eq 135 syn access-list 100 deny udp any any range 136 140 access-list 100 deny tcp any any range 136 140 syn access-list 100 deny tcp any any eq 421 syn access-list 100 deny tcp any any eq 456 syn access-list 100 deny tcp any any eq 531 syn access-list 100 deny tcp any any eq 555 syn access-list 100 deny tcp any any eq 911 syn access-list 100 deny tcp any any eq 999 syn access-list 100 deny udp any any eq 1349 access-list 100 deny udp any any eq 6838 access-list 100 deny udp any any eq 8787 access-list 100 deny udp any any eq 8879 access-list 100 deny udp any any eq 9325 access-list 100 deny tcp any any eq 12345 syn access-list 100 deny udp any any eq 31335 access-list 100 deny udp any any eq 31337 access-list 100 deny udp any any eq 31338 access-list 100 deny udp any any eq 54320 access-list 100 deny udp any any eq 54321 access-list 100 permit ip any any dialer-list 1 protocol ip permit ! line con 0 exec-timeout 60 0 password 7 xxx login stopbits 1 line vty 0 4 exec-timeout 60 0 password 7 xxx login ! scheduler max-task-time 5000 sntp server 212.54.64.202 sntp server 212.54.64.203 end ---
no ip nat inside source static tcp 192.168.1.10 4101 interface Dialer0 4101 no ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23 no ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80
Flg linie tilføjes:
ip nat inside source static <SONIC IP> interface Dialer0 (denne er jeg lidt i tvivl om, men skriv)
Access-listen skal du lade være... kan ikke se den blokker nogle a dine VPN protocoller og porte. Og den ender jo med "permit ip any any", så alt andet er tilladt..
Ok det lyder rigtigt godt. Nu kan jeg først afprøve det i weekenden, men så skal jeg nok vende tilbage hvordan det fungerer. Foreløbigt tak for hjælpen. Eneste er vel at "no ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23" kan jeg ikke bruge, da det jo er adgangen fra Tiscali. På den anden side, så har de nu ikke meget at skulle i den for de ville ikke engang hjælpe med det her. De henviste til deres webside og det eneste som står der er NAT af enkelte porte.
Når det blev lige flyttet til her i det nye år. Det har også fungeret fint nok. Godt nok så fungerede ip nat inside source static <SONIC IP> interface Dialer0 desværre ikke, men den var du jo også i tvivl om. Men altså det var ikke værre end at lave NAT på portene ind til den næste firewall. rubeck du må lige oprette et svar, så du kan få de point.
Hehe.... Ja nu er juleræset endeligt ovre.. Puuuha :-(
Glæder mig det funker.. 8-)
/Rubeck
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.