Cisco 827 NAT forward med VPN

ip nat inside source static <PUBLIC IP> <SONICWALL IP> netmask 255.255.255.255

access-list 110 permit esp any host <PUBLIC IP>
access-list 110 permit isakmp any host <PUBLIC IP>

Access linier skal selvfølgelig kun indsættes hvis du har en access-list tilknyttet outside..

/Rubeck

Hej Madah,

hvor vil du terminere din vpn-tunnel? og skal det være en klient eller PtP tunnel?

Ups... Glemte da noget :-)

access-list 110 permit tcp any host <PUBLIC IP> eq 1723
access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver)

Tak hellman... hehe

Ok tak for jeres svar.
Den med NAT forward kan jeg godt forstå.
Når jeg så tillader esp og isakmp så behandler den VPN pakker som dette eller hvad?
>>access-list 110 permit tcp any host <PUBLIC IP> eq 1723
>>access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver)
De to kan jeg så ikke se hvad de skal gøre. Det er IOS 12.2

Omkring termineringen så ligger der en VPN server i den nye Sonicwall, mens klienterne udefra kobler op med en VPN software klient. Men det var måske ikke det du mente?

>>access-list 110 permit tcp any host <PUBLIC IP> eq 1723
>>access-list 110 permit GRE any host <PUBLIC IP> (afh. af IOS ver)
>De to kan jeg så ikke se hvad de skal gøre. Det er IOS 12.2

Tillader incomming PPTP (GRE)...

>Omkring termineringen så ligger der en VPN server i den nye Sonicwall, mens <klienterne udefra kobler op med en VPN software klient. Men det var måske <ikke det du mente?

Yes... :-)

access-listen skal dog kun konfigs, hvis du allerede har en der af én eller anden grund forbyder esp, iksamp og GRE... Normalt har man dog ikke det.

Hvis du paster din konfig her, er det måske nemmere at forstå... :-) Skjul dog public IPs og passwords..

Mvh

Rubeck

Jo hvis det kan hjælpe at se den så selvfølgelig. Der er en access-list defineret allerede, dog kun med deny på enkelte ting. Desværre ved jeg ikke meget om den her konfiguration andet end en del af det jo selvfølgelig er Tiscali's standard. Da jeg overtog det var koden ikke engang ændret. Men der har været ændret noget i det, kan jeg da se.

Public IP indgår ikke. Den må jo blive tildelt fra Tiscali, men vi har dog fast IP.
Da jeg ikke ved hvor meget som er nødvendigt smider jeg hellere det hele her:
---
version 12.2
no parser cache
no service single-slot-reload-enable
no service pad
service timestamps debug datetime localtime show-timezone
service timestamps log datetime localtime show-timezone
service password-encryption
no service dhcp
!
hostname 827
!
logging buffered 8192 debugging
logging rate-limit console 10 except errors
logging console warnings

!
clock timezone MET 1
clock summer-time MET-DST recurring last Sun Mar 2:00 last Sun Oct 3:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.254
!
ip dhcp pool 827
  network 192.168.1.0 255.255.255.0
  default-router 192.168.1.1
  dns-server 212.54.64.170 212.54.64.171
  lease 0 1
!
ip ssh time-out 120
ip ssh authentication-retries 3
no ip dhcp-client network-discovery
lcp max-session-starts 0
!
crypto mib ipsec flowmib history tunnel size 200
crypto mib ipsec flowmib history failure size 200
!
!
!
interface Loopback0
no ip address
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
ip nat inside
no keepalive
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 0/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
!
bundle-enable
dsl operating-mode ansi-dmt
!
interface Dialer0
ip address negotiated
ip access-group 100 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username 6xxxxx password 7 xxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 192.168.1.10 4101 interface Dialer0 4101
ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23
ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 192.168.1.254
no ip http server
!
access-list 1 permit 192.168.0.0 0.0.255.255
access-list 100 deny  icmp any any redirect
access-list 100 deny  udp any any eq 19
access-list 100 deny  tcp any any eq 31 syn
access-list 100 deny  tcp any any eq 41 syn
access-list 100 deny  tcp any any eq 58 syn
access-list 100 deny  tcp any any eq 90 syn
access-list 100 deny  tcp any any eq 121 syn
access-list 100 deny  udp any any eq 135
access-list 100 deny  tcp any any eq 135 syn
access-list 100 deny  udp any any range 136 140
access-list 100 deny  tcp any any range 136 140 syn
access-list 100 deny  tcp any any eq 421 syn
access-list 100 deny  tcp any any eq 456 syn
access-list 100 deny  tcp any any eq 531 syn
access-list 100 deny  tcp any any eq 555 syn
access-list 100 deny  tcp any any eq 911 syn
access-list 100 deny  tcp any any eq 999 syn
access-list 100 deny  udp any any eq 1349
access-list 100 deny  udp any any eq 6838
access-list 100 deny  udp any any eq 8787
access-list 100 deny  udp any any eq 8879
access-list 100 deny  udp any any eq 9325
access-list 100 deny  tcp any any eq 12345 syn
access-list 100 deny  udp any any eq 31335
access-list 100 deny  udp any any eq 31337
access-list 100 deny  udp any any eq 31338
access-list 100 deny  udp any any eq 54320
access-list 100 deny  udp any any eq 54321
access-list 100 permit ip any any
dialer-list 1 protocol ip permit
!
line con 0
exec-timeout 60 0
password 7 xxx
login
stopbits 1
line vty 0 4
exec-timeout 60 0
password 7 xxx
login
!
scheduler max-task-time 5000
sntp server 212.54.64.202
sntp server 212.54.64.203
end
---

Flg. 3 linier slettes vha:

no ip nat inside source static tcp 192.168.1.10 4101 interface Dialer0 4101
no ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23
no ip nat inside source static tcp 192.168.1.10 80 interface Dialer0 80

Flg linie tilføjes:

ip nat inside source static <SONIC IP> interface Dialer0 (denne er jeg lidt i tvivl om, men skriv)


Access-listen skal du lade være... kan ikke se den blokker nogle a dine VPN protocoller og porte. Og den ender jo med "permit ip any any", så alt andet er tilladt..

/Rubeck

Skriv hvis det ikke virker...

Ok det lyder rigtigt godt. Nu kan jeg først afprøve det i weekenden, men så skal jeg nok vende tilbage hvordan det fungerer. Foreløbigt tak for hjælpen.
Eneste er vel at "no ip nat inside source static tcp 192.168.1.1 23 interface Dialer0 23" kan jeg ikke bruge, da det jo er adgangen fra Tiscali. På den anden side, så har de nu ikke meget at skulle i den for de ville ikke engang hjælpe med det her. De henviste til deres webside og det eneste som står der er NAT af enkelte porte.

Når det blev lige flyttet til her i det nye år. Det har også fungeret fint nok.
Godt nok så fungerede
ip nat inside source static <SONIC IP> interface Dialer0
desværre ikke, men den var du jo også i tvivl om. Men altså det var ikke værre end at lave NAT på portene ind til den næste firewall.
rubeck du må lige oprette et svar, så du kan få de point.

Hehe.... Ja nu er juleræset endeligt ovre.. Puuuha :-(

Glæder mig det funker.. 8-)

/Rubeck