Autoriser les connections VPN entrantes via un périphérique Cisco 2921 vers DD-WRT

Le routeur Cisco est connecté au WAN sur Gi0 / 2 et connecté au LAN 192.168.1.0/24 sur Gi0 / 0.

L'IP du périphérique DD-WRT est 192.168.1.3/24.

Je veux que le routeur DD-WRT gère les connections VPN entrantes (PPTP).

Sur le périphérique Cisco, je suppose que j'ai besoin d'une ACL appliquée sur l'input sur l'interface Internet, TCP (et UDP?) 47 et TCP 1723 autorisé par n'importe quelle IP et une configuration NAT entrante pour TCP 1723 (appliquée à l'IP WAN?)

Exécuter la configuration

R1#show run Building configuration... Current configuration : 1903 bytes ! ! Last configuration change at 01:16:34 UTC Fri Feb 22 2013 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! enable secret ************************* enable password **************************** ! no aaa new-model ! no ipv6 cef ip source-route ip cef ! ! ! ip dhcp excluded-address 192.168.2.1 ip dhcp excluded-address 192.168.2.1 192.168.2.99 ip dhcp excluded-address 192.168.2.1 192.168.2.50 ! ip dhcp pool DHCP_POOL network 192.168.2.0 255.255.255.0 default-router 192.168.2.1 dns-server 8.8.8.8 domain-name subnet2.local ! ! multilink bundle-name authenticated ! ! ! ! ! crypto pki token default removal timeout 0 ! ! voice-card 0 ! ! ! ! ! ! ! license udi pid CISCO2921/K9 sn FTX1703AHBN hw-module pvdm 0/0 ! ! ! ! redundancy ! ! ! ! ! ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto no mop enabled ! interface GigabitEthernet0/1 ip address 192.168.2.1 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/2 ip address **************** ip nat outside ip virtual-reassembly in duplex auto speed auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip nat inside source list 1 interface GigabitEthernet0/2 overload ip route 0.0.0.0 0.0.0.0 ************** ! access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! control-plane ! ! ! ! mgcp profile default ! ! ! ! ! gatekeeper shutdown ! ! ! line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 password ******************* login transport input all ! scheduler allocate 20000 1000 end 

Config après les commands suggérées

R1 # ping 8.8.8.8

Tapez la séquence d'échappement pour annuler.

Envoi de 5, 100 octets ICMP Echos à 8.8.8.8, le timeout d'attente est de 2 secondes: ….. Le taux de réussite est de 0% (0/5)

R1 # show run

Configuration du bâtiment …

Configuration actuelle: 2152 octets! ! Dernier changement de configuration à 01:40:48 UTC vendredi 22 février 2013

version 15.1

timestamps de service debug datetime msec

horloge de service journal datetime msec

pas de mot de passe de service de encryption

! Nom d'hôte R1

!

boot-start-marker

marqueur de démarrage

! !

activer le secret ***********************.

activer le mot de passe **********************

! no aaa nouveau model

!

no ipv6 cef

ip source-route

ip cef

ip dhcp exclusion-adresse 192.168.2.1

ip dhcp exclusion-adresse 192.168.2.1 192.168.2.99

ip dhcp exclusion-adresse 192.168.2.1 192.168.2.50

! ip dhcp pool DHCP_POOL

réseau 192.168.2.0 255.255.255.0

default-router 192.168.2.1

dns-server 8.8.8.8

nom de domaine sous-réseau2.local

multilink bundle-name authentifié

crypto pki token timeout de suppression par défaut 0

carte vocale 0

Interface Embedded-Service-Engine0 / 0

aucune adresse IP

fermer

interface GigabitEthernet0 / 0

adresse ip 192.168.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

duplex auto

vitesse automatique

pas de balai activé

! Interface GigabitEthernet0 / 1

adresse ip 192.168.2.1 255.255.255.0

duplex auto

vitesse automatique interface GigabitEthernet0 / 2

adresse IP WAN IP XXXXXXXX

ip access-group 110 in

ip nat outside

ip virtual-reassembly in

duplex auto

vitesse automatique ip forward-protocol nd

pas de server http ip

no ip http secure-server

ip nat in source list 1 interface GigabitEthernet0 / 2 surcharge

ip nat in source static tcp 192.168.1.3 1723 interface GigabitEthernet0 / 2 17 23

route ip 0.0.0.0 0.0.0.0 108.162.28.169

access-list 1 permis 192.168.1.0 0.0.0.255

list d'access 101 autoriser tout

list d'access 110 permis gre tout hôte 192.168.1.3 journal

la list d'access 110 permet à tout hôte 192.168.1.3 eq 1723

avion de contrôle

profil mgcp par défaut

portier

fermer

line con 0

line aux 0

ligne 2

pas de caractère d'activation

pas d'exécution

transport préféré aucun

tout le transport entré

pad de sortie de transport telnet rlogin lapb-ta mop udptn v120 ssh

stopbits 1

ligne vty 0 4

mot de passe ********************

s'identifier

Tous les transports entrent tous! planificateur allouez 20000 1000 fin

R1 #

Donné:

 access-list 1 permit 192.168.1.0 0.0.0.255 ip nat inside source list 1 interface gi0/2 overload interface gi0/0 ip nat inside inter gi0/2 ip nat outside 

Ensuite, vous pouvez transférer le port pour DDWRT comme suit:

 ip nat inside source static tcp 192.168.1.3 1723 interface gi0/2 1723 

Il s'avère … que pour transférer des ports pour PPTP , vous n'avez pas besoin d'ouvrir le port 47 , mais le protocole 47 .

Le protocole IP 47 est également connu sous le nom de GRE (Generic Routing Encapsulation) .

 access-list 101 permit 47 any host 192.168.1.3 log access-list 101 permit tcp any host 192.168.1.3 eq 1723 access-list 101 permit ip any any 

Vous pouvez appliquer l'ACL à l'interface :

 int gi0/2 ip access-group 101 in 

modifier

Il manquait le permit ip any any ligne, c'est pourquoi vous avez perdu l'access LAN (probablement).