允許通過 Cisco 2921 到 DD-WRT 設備的傳入 VPN 連接
Cisco 路由器在 Gi0/2 上連接到 WAN,在 Gi0/0 上連接到 192.168.1.0/24 LAN。
DD-WRT 設備的 IP 為 192.168.1.3/24。
我希望 DD-WRT 路由器處理傳入的 VPN 連接 (PPTP)。
在 Cisco 設備上,我假設我需要在 Internet 介面的入站上應用 ACL,TCP(和 UDP?)47 和 TCP 1723 允許從任何 IP 以及 TCP 1723 的入站 NAT 設置(應用於 WAN IP?)
執行配置
R1#show run Building configuration... Current configuration : 1903 bytes ! ! Last configuration change at 01:16:34 UTC Fri Feb 22 2013 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret ************************* enable password **************************** ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.2.1 192.168.2.99 ip dhcp excluded-address 192.168.2.1 192.168.2.50 ! ip dhcp pool DHCP_POOL network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 8.8.8.8 domain-name subnet2.local ! ! multilink bundle-name authenticated ! ! ! ! ! crypto pki token default removal timeout 0 ! ! voice-card 0 ! ! ! ! ! ! ! license udi pid CISCO2921/K9 sn FTX1703AHBN hw-module pvdm 0/0 ! ! ! ! redundancy ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/2 ip address **************** ip nat outside ip virtual-reassembly in duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list 1 interface GigabitEthernet0/2 overload ip route 0.0.0.0 0.0.0.0 ************** ! access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! gatekeeper shutdown ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password ******************* login transport input all ! scheduler allocate 20000 1000 end
建議命令後的配置
R1#ping 8.8.8.8
鍵入轉義序列以中止。
向 8.8.8.8 發送 5 個 100 字節的 ICMP Echo,超時為 2 秒:….. 成功率為 0% (0/5)
R1#顯示執行
建構配置…
目前配置:2152字節!!上次配置更改時間為 2013 年 2 月 22 日星期五 01:40:48 UTC
15.1版
服務時間戳調試日期時間毫秒
服務時間戳記錄日期時間毫秒
無服務密碼加密
!主機名 R1
!
引導開始標記
引導結束標記
! !
啟用秘密****************************。
啟用密碼 **********************
!沒有aaa新型號
!
沒有ipv6 cef
ip 源路由
ip 頭孢
ip dhcp 排除地址 192.168.2.1
ip dhcp 排除地址 192.168.2.1 192.168.2.99
ip dhcp 排除地址 192.168.2.1 192.168.2.50
!ip dhcp 池 DHCP_POOL
網路 192.168.2.0 255.255.255.0
預設路由器 192.168.2.1
dns 伺服器 8.8.8.8
域名subnet2.local
多鏈路捆綁名稱已驗證
加密 pki 令牌預設刪除超時 0
語音卡 0
介面 Embedded-Service-Engine0/0
沒有IP地址
關閉
介面 GigabitEthernet0/0
ip地址192.168.1.1 255.255.255.0
ip nat 裡面
ip 虛擬重組
雙面自動
速度自動
沒有啟用拖把
!介面 GigabitEthernet0/1
ip地址192.168.2.1 255.255.255.0
雙面自動
速度自動!介面 GigabitEthernet0/2
ip地址廣域網IP XXXXXXXX
ip 訪問組 110 在
ip nat 外面
ip 虛擬重組
雙面自動
速度自動!ip 轉發協議 nd
沒有ip http伺服器
沒有 ip http 安全伺服器
ip nat inside source list 1 interface GigabitEthernet0/2 過載
ip nat inside source static tcp 192.168.1.3 1723 interface GigabitEthernet0/2 17 23
ip 路由 0.0.0.0 0.0.0.0 108.162.28.169
訪問列表 1 許可 192.168.1.0 0.0.0.255
訪問列表 101 允許 ip 任何任何
訪問列表 110 允許 gre 任何主機 192.168.1.3 日誌
訪問列表 110 允許 tcp 任何主機 192.168.1.3 eq 1723
控制平面
mgcp 配置文件預設值
看門人
關閉
線路連接 0
線到 0
2號線
沒有啟動字元
沒有執行
交通首選 無
運輸輸入全部
傳輸輸出墊 telnet rlogin lapb-ta mop udptn v120 ssh
停止位 1
線 vty 0 4
密碼 ********************
登錄
運輸輸入全部!調度程序分配 20000 1000 結束
R1 #
鑑於:
access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface gi0/2 overload interface gi0/0 ip nat inside inter gi0/2 ip nat outside
然後您可以按如下方式轉發 DDWRT 的埠:
ip nat inside source static tcp 192.168.1.3 1723 interface gi0/2 1723
事實證明..要為 PPTP 轉發埠,您不需要打開埠 47,而是打開協議 47。
IP 協議 47 也稱為GRE(通用路由封裝)。
access-list 101 permit 47 any host 192.168.1.3 log access-list 101 permit tcp any host 192.168.1.3 eq 1723 access-list 101 permit ip any any
您可以將 ACL 應用於介面:
int gi0/2 ip access-group 101 in
編輯
錯過了
permit ip any any
線路,這就是您失去 LAN 訪問權限的原因(可能)。