Avatar billede madah Nybegynder
13. december 2003 - 21:55 Der er 10 kommentarer og
1 løsning

Cisco 827 NAT forward med VPN

Hej.

På en Tiscali linje har jeg en 827, hvor jeg også har brug for VPN adgang. Jeg skal nu have indsat en Sonicwall efter. Det jeg gerne vil høre er, hvordan jeg kan lave et fuldt DMZ til Sonicwallen, som så overtager alt med filtre og VPN. Der skal jo nok bruges NAT på alle porte ind men hvad med VPN så. De skal jo som regel understøtte PPTP forward, så den ikke ændre i IP adresserne. Kan dette lade sig gøre.
Så hvordan skal konfigurationen se ud i IOS?
Avatar billede rubeck Nybegynder
15. december 2003 - 07:27 #1
ip nat inside source static <PUBLIC IP> <SONICWALL IP> netmask 255.255.255.255

access-list 110 permit esp any host <PUBLIC IP>
access-list 110 permit isakmp any host <PUBLIC IP>

Access linier skal selvfølgelig kun indsættes hvis du har en access-list tilknyttet outside..

/Rubeck
Avatar billede hellmann Nybegynder
15. december 2003 - 17:26 #2
Hej Madah,

hvor vil du terminere din vpn-tunnel? og skal det være en klient eller PtP tunnel?
Avatar billede rubeck Nybegynder
15. december 2003 - 18:07 #3
Ups... Glemte da noget :-)

access-list 110 permit tcp any host <PUBLIC IP> eq 1723
access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver)

Tak hellman... hehe
Avatar billede madah Nybegynder
16. december 2003 - 13:59 #4
Ok tak for jeres svar.
Den med NAT forward kan jeg godt forstå.
Når jeg så tillader esp og isakmp så behandler den VPN pakker som dette eller hvad?
>>access-list 110 permit tcp any host <PUBLIC IP> eq 1723
>>access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver)
De to kan jeg så ikke se hvad de skal gøre. Det er IOS 12.2

Omkring termineringen så ligger der en VPN server i den nye Sonicwall, mens klienterne udefra kobler op med en VPN software klient. Men det var måske ikke det du mente?
Avatar billede rubeck Nybegynder
16. december 2003 - 15:02 #5
>>access-list 110 permit tcp any host <PUBLIC IP> eq 1723
>>access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver)
>De to kan jeg så ikke se hvad de skal gøre. Det er IOS 12.2

Tillader incomming PPTP (GRE)...

>Omkring termineringen så ligger der en VPN server i den nye Sonicwall, mens <klienterne udefra kobler op med en VPN software klient. Men det var måske <ikke det du mente?

Yes... :-)

access-listen skal dog kun konfigs, hvis du allerede har en der af én eller anden grund forbyder esp, iksamp og GRE... Normalt har man dog ikke det.

Hvis du paster din konfig her, er det måske nemmere at forstå... :-) Skjul dog public IPs og passwords..

Mvh

Rubeck
Avatar billede madah Nybegynder
16. december 2003 - 16:30 #6
Jo hvis det kan hjælpe at se den så selvfølgelig. Der er en access-list defineret allerede, dog kun med deny på enkelte ting. Desværre ved jeg ikke meget om den her konfiguration andet end en del af det jo selvfølgelig er Tiscali's standard. Da jeg overtog det var koden ikke engang ændret. Men der har været ændret noget i det, kan jeg da se.

Public IP indgår ikke. Den må jo blive tildelt fra Tiscali, men vi har dog fast IP.
Da jeg ikke ved hvor meget som er nødvendigt smider jeg hellere det hele her:
---
version 12.2
no parser cache
no service single-slot-reload-enable
no service pad
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
no service dhcp
!
hostname 827
!
logging buffered 8192 debugging
logging rate-limit console 10 except errors
logging console warnings

!
clock timezone MET 1
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.254
!
ip dhcp pool 827
  network 192.168.1.0 255.255.255.0
  default-router 192.168.1.1
  dns-server 212.54.64.170 212.54.64.171
  lease 0 1
!
ip ssh time-out 120
ip ssh authentication-retries 3
no ip dhcp-client network-discovery
lcp max-session-starts 0
!
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
!
!
interface Loopback0
no ip address
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no keepalive
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
bundle-enable
dsl operating-mode ansi-dmt
!
interface Dialer0
ip address negotiated
ip access-group 100 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username 6xxxxx password 7 xxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.10 4101 interface Dialer0 4101
ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23
ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 192.168.1.254
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 100 deny  icmp any any redirect
access-list 100 deny  udp any any eq 19
access-list 100 deny  tcp any any eq 31 syn
access-list 100 deny  tcp any any eq 41 syn
access-list 100 deny  tcp any any eq 58 syn
access-list 100 deny  tcp any any eq 90 syn
access-list 100 deny  tcp any any eq 121 syn
access-list 100 deny  udp any any eq 135
access-list 100 deny  tcp any any eq 135 syn
access-list 100 deny  udp any any range 136 140
access-list 100 deny  tcp any any range 136 140 syn
access-list 100 deny  tcp any any eq 421 syn
access-list 100 deny  tcp any any eq 456 syn
access-list 100 deny  tcp any any eq 531 syn
access-list 100 deny  tcp any any eq 555 syn
access-list 100 deny  tcp any any eq 911 syn
access-list 100 deny  tcp any any eq 999 syn
access-list 100 deny  udp any any eq 1349
access-list 100 deny  udp any any eq 6838
access-list 100 deny  udp any any eq 8787
access-list 100 deny  udp any any eq 8879
access-list 100 deny  udp any any eq 9325
access-list 100 deny  tcp any any eq 12345 syn
access-list 100 deny  udp any any eq 31335
access-list 100 deny  udp any any eq 31337
access-list 100 deny  udp any any eq 31338
access-list 100 deny  udp any any eq 54320
access-list 100 deny  udp any any eq 54321
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 60 0
password 7 xxx
login
stopbits 1
line vty 0 4
exec-timeout 60 0
password 7 xxx
login
!
scheduler max-task-time 5000
sntp server 212.54.64.202
sntp server 212.54.64.203
end
---
Avatar billede rubeck Nybegynder
16. december 2003 - 16:50 #7
Flg. 3 linier slettes vha:

no ip nat inside source static tcp 192.168.1.10 4101 interface Dialer0 4101
no ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23
no ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80

Flg linie tilføjes:

ip nat inside source static <SONIC IP> interface Dialer0 (denne er jeg lidt i tvivl om, men skriv)


Access-listen skal du lade være... kan ikke se den blokker nogle a dine VPN protocoller og porte. Og den ender jo med "permit ip any any", så alt andet er tilladt..

/Rubeck
Avatar billede rubeck Nybegynder
16. december 2003 - 16:51 #8
Skriv hvis det ikke virker...
Avatar billede madah Nybegynder
16. december 2003 - 18:12 #9
Ok det lyder rigtigt godt. Nu kan jeg først afprøve det i weekenden, men så skal jeg nok vende tilbage hvordan det fungerer. Foreløbigt tak for hjælpen.
Eneste er vel at "no ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23" kan jeg ikke bruge, da det jo er adgangen fra Tiscali. På den anden side, så har de nu ikke meget at skulle i den for de ville ikke engang hjælpe med det her. De henviste til deres webside og det eneste som står der er NAT af enkelte porte.
Avatar billede madah Nybegynder
14. januar 2004 - 09:45 #10
Når det blev lige flyttet til her i det nye år. Det har også fungeret fint nok.
Godt nok så fungerede
ip nat inside source static <SONIC IP> interface Dialer0
desværre ikke, men den var du jo også i tvivl om. Men altså det var ikke værre end at lave NAT på portene ind til den næste firewall.
rubeck du må lige oprette et svar, så du kan få de point.
Avatar billede rubeck Nybegynder
14. januar 2004 - 09:52 #11
Hehe.... Ja nu er juleræset endeligt ovre.. Puuuha :-(

Glæder mig det funker.. 8-)

/Rubeck
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester