misterchoc 10 Geschrieben 23. Januar 2008 Melden Teilen Geschrieben 23. Januar 2008 Hallo zusammen, ich müsste bei einem Cisco 1800 Router die Ports freigeben damit mit dem Server VPN aufgebaut werden kann. Bis jetzt ist bei dem Router die Firewall noch nicht konfiguriert, da kein Traffic nach innen notwendig war. Per Webinterface lässt sich das Teil auch ganz schön konfigurieren, nur wenn ich bei Firewall ACL, 2 anlege (GRE u. PPTP) dann kommt niemand mehr ins internet. Denke mal das dadurch die Firewall aktiviert wird und automatisch den Traffic verbietet, da ja sonst keine Ports eingestellt sind. Wie kann ich das am besten konfigurieren? Wir möchten einfach nur von extern eine VPN-Verbindung zum Windows 2003 Server aufbauen. Viele Grüße, MisterChoc Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 23. Januar 2008 Melden Teilen Geschrieben 23. Januar 2008 Auf der Konsole: access-list 120 permit gre any host <interner host> access-list 120 permit tcp any <interner host> eq 1723 ip nat inside source list 120 interface <externes if> Zitieren Link zu diesem Kommentar
misterchoc 10 Geschrieben 28. Januar 2008 Autor Melden Teilen Geschrieben 28. Januar 2008 hm .. funktioniert leider nicht, fehlt da noch evtl. etwas? Zitieren Link zu diesem Kommentar
misterchoc 10 Geschrieben 28. Januar 2008 Autor Melden Teilen Geschrieben 28. Januar 2008 brauche dringend hilfe... Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 28. Januar 2008 Melden Teilen Geschrieben 28. Januar 2008 Poste doch mal die entsprechenden Teile der Config Zitieren Link zu diesem Kommentar
misterchoc 10 Geschrieben 28. Januar 2008 Autor Melden Teilen Geschrieben 28. Januar 2008 version 12.4 no service pad service timestamps debug datetime msec localtime show-timezone service timestamps log datetime msec localtime show-timezone service password-encryption service sequence-numbers ! hostname <name> ! boot-start-marker boot-end-marker ! logging buffered 4096 enable secret 5 <passwort> ! aaa new-model ! ! aaa authentication login default local group radius aaa authorization exec default local group radius aaa authorization network default local group radius ! ! aaa session-id common ! ! ip cef ! ! no ip bootp server ip name-server <nameserver> ip ssh version 2 ! multilink bundle-name authenticated ! crypto pki trustpoint TP-self-signed-1184016967 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1184016967 revocation-check none rsakeypair TP-self-signed-1184016967 ! ! crypto pki certificate chain TP-self-signed-1184016967 certificate self-signed 01 quit ! ! username admin privilege 15 secret 5 <passwort> ! ! ! crypto ipsec security-association lifetime seconds 28800 ! crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac ! ! ! interface FastEthernet0 ip address <lanipextern> 255.255.255.248 ip nat outside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1 no ip address shutdown duplex auto speed auto ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address <routerip-intern> 255.255.255.0 ip nat inside ip virtual-reassembly ! ip route 0.0.0.0 0.0.0.0 <ip> ! ! no ip http server no ip http secure-server ip nat inside source list 150 interface FastEthernet0 overload ! logging 82.10.42.35 access-list 150 permit ip 192.168.50.0 0.0.0.255 any no cdp run ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 exec-timeout 0 0 transport input ssh ! ntp clock-period 17180214 ntp update-calendar ntp server 82.10.92.34 source FastEthernet0 end vpn.blubber.de# [/code] Zitieren Link zu diesem Kommentar
misterchoc 10 Geschrieben 29. Januar 2008 Autor Melden Teilen Geschrieben 29. Januar 2008 keiner eine Idee? access-list 120 permit gre any host <interner host> access-list 120 permit tcp any <interner host> eq 1723 ip nat inside source list 120 interface <externes if> <-- das hab ich dann im nachhinein wieder empfehrnt weil es nicht funktionierte. mit dieser Regel hat das ganze so ausgesehen: ip http server no ip http secure-server ip nat inside source list 120 interface FastEthernet0 overload ip nat inside source list 150 interface FastEthernet0 overload ! logging <ip adresse> access-list 120 permit gre any host 192.168.50.2 access-list 120 permit tcp any host 192.168.50.2 eq 1723 access-list 150 permit ip 192.168.50.0 0.0.0.255 any no cdp run Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 29. Januar 2008 Melden Teilen Geschrieben 29. Januar 2008 Dann probier mal zusaetzlich (ohne acl 120): ip nat inside source static tcp 192.168.50.2 1723 interface fa0 1723 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.