Cisco 路由器在 Gi0/2 上连接到 WAN,在 Gi0/0 上连接到 192.168.1.0/24 LAN。
DD-WRT 设备的 IP 是 192.168.1.3/24。
我希望 DD-WRT 路由器处理传入的 VPN 连接(PPTP)。
在 Cisco 设备上,我假设需要在 Internet 接口的入站上应用 ACL,允许来自任何 IP 的 TCP(和 UDP?)47 和 TCP 1723,并为 TCP 1723 设置入站 NAT(应用于 WAN IP?)
运行配置
R1#show run
Building configuration...
Current configuration : 1903 bytes
!
! Last configuration change at 01:16:34 UTC Fri Feb 22 2013
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
enable secret *************************
enable password ****************************
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
!
ip dhcp excluded-address 192.168.2.1
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.1 192.168.2.50
!
ip dhcp pool DHCP_POOL
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1
dns-server 8.8.8.8
domain-name subnet2.local
!
!
multilink bundle-name authenticated
!
!
!
!
!
crypto pki token default removal timeout 0
!
!
voice-card 0
!
!
!
!
!
!
!
license udi pid CISCO2921/K9 sn FTX1703AHBN
hw-module pvdm 0/0
!
!
!
!
redundancy
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address ****************
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 **************
!
access-list 1 permit 192.168.1.0 0.0.0.255
!
!
!
control-plane
!
!
!
!
mgcp profile default
!
!
!
!
!
gatekeeper
shutdown
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password *******************
login
transport input all
!
scheduler allocate 20000 1000
end
按照建议的命令进行配置
R1#ping 8.8.8.8
键入转义序列以中止。
向 8.8.8.8 发送 5 个 100 字节 ICMP 回显,超时为 2 秒:..... 成功率为 0% (0/5)
R1#显示运行
建筑配置...
当前配置:2152 字节 !! 上次配置更改于 UTC 2013 年 2 月 22 日星期五 01:40:48
版本 15.1
服务时间戳调试日期时间毫秒
服务时间戳日志日期时间毫秒
无服务密码加密
!主机名 R1
!
开机启动标记
引导结束标记
! !
启用秘密************************。
启用密码 ************************
! 没有 aaa 新模型
!
没有 ipv6 cef
ip 源路由
网际网络接入框架
ip dhcp 排除地址 192.168.2.1
ip dhcp 排除地址 192.168.2.1 192.168.2.99
ip dhcp 排除地址 192.168.2.1 192.168.2.50
! IP DHCP 池 DHCP_POOL
网络 192.168.2.0 255.255.255.0
默认路由器 192.168.2.1
dns 服务器 8.8.8.8
域名子网2.local
多链路捆绑名称已验证
加密 pki 令牌默认删除超时 0
语音卡 0
接口嵌入式服务引擎 0/0
没有 IP 地址
关闭
接口 GigabitEthernet0/0
IP地址 192.168.1.1 255.255.255.0
ip nat 内部
ip 虚拟重组
自动双面打印
自动速度
没有启用 mop
! 接口千兆以太网0/1
IP地址 192.168.2.1 255.255.255.0
自动双面打印
速度自动!接口千兆以太网0/2
IP 地址 WAN IP XXXXXXXX
ip 访问组 110
ip nat 外部
ip 虚拟重组
自动双面打印
速度自动!ip 转发协议 nd
没有 IP http 服务器
没有 ip http 安全服务器
ip nat 内部源列表 1 接口 GigabitEthernet0/2 过载
ip nat 内部源静态 tcp 192.168.1.3 1723 接口 GigabitEthernet0/2 17 23
IP 路由 0.0.0.0 0.0.0.0 108.162.28.169
访问列表 1 允许 192.168.1.0 0.0.0.255
访问列表 101 允许 ip any any
访问列表 110 允许 gre 任何主机 192.168.1.3 日志
访问列表 110 允许 tcp 任何主机 192.168.1.3 eq 1723
控制平面
mgcp 配置文件默认
守门人
关闭
线路连接 0
辅助线路 0
2号线
无激活字符
没有执行
交通 首选 无
运输输入全部
传输输出 pad telnet rlogin lapb-ta mop udptn v120 ssh
停止位 1
线路 vty 0 4
密码 ********************
登录
传输输入全部!调度程序分配20000 1000结束
R1#
答案1
鉴于:
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface gi0/2 overload
interface gi0/0
ip nat inside
inter gi0/2
ip nat outside
然后您可以按如下方式转发 DDWRT 的端口:
ip nat inside source static tcp 192.168.1.3 1723 interface gi0/2 1723
事实证明..转发 PPTP 端口,你不需要打开端口 47, 但议定书 47。
IP 协议 47 也称为GRE(通用路由封装)。
access-list 101 permit 47 any host 192.168.1.3 log
access-list 101 permit tcp any host 192.168.1.3 eq 1723
access-list 101 permit ip any any
你可以将 ACL 应用于接口:
int gi0/2
ip access-group 101 in
编辑
缺少了这条permit ip any any线路,这就是您失去 LAN 访问权限的原因(可能)。