我最终试图在防火墙内设置一个PPTP VPN服务器,但为了validation路由器是否会正确configuration,我试图通过Cisco 881将SSH传递给SSH服务器(10.10.100.20)。 似乎我的configuration应该是正确的,但我不能从我的VPS在Linode SSH回到我的networking。
我排除了调制解调器,因为我将我的笔记本电脑放在我们的静态IP上,并且能够从我的Linode进行SSH连接。 一旦路由器在路上,我不能SSH进来。
这是我的configuration
!
! 最后的configuration更改在08:51:36 PCTime Wed 2010年9月22日通过pipe理员
!
版本15.0
没有服务垫
服务tcp-keepalives-in
服务tcp-keepalives-out
服务时间戳debuggingdate时间毫秒本地时间显示时区
服务时间戳记date时间毫秒本地时间显示时区
服务密码encryption
服务序列号
!
主机名路由器
!
引导启动标志物
引导结束标志
!
安全authentication失败率3日志
安全密码最小长度6
没有logging缓冲
没有日志控制台
启用秘密5
!
没有一个新的模式
内存大小iomem 10
时钟时区PCTime -5
时钟夏令时间date2003年4月6日2:00 2003年10月26日2:00
!
crypto pki trustpoint TP-self-signed-1169761916
招生自签名
主题名称cn = IOS-Self-Signed-Certificate-1169761916
撤销检查没有
rsakeypair TP-self-signed-1169761916
!
!
encryptionpki证书链TP-self-signed-1169761916
证书自签01
放弃
没有IP源路由
!
!
ip dhcp excluded-address 10.0.0.1
ip dhcp excluded-address 10.100.0.1 10.100.10.0
ip dhcp excluded-address 10.100.10.255 10.100.255.254
ip dhcp excluded-address 10.10.100.1 10.10.100.40
ip dhcp excluded-address 10.10.100.150 10.10.100.250
!
ip dhcp池ccp-pool1
全部导入
networking10.10.10.0 255.255.255.0
dns-server#DNS##DNS#
默认路由器10.10.10.1
!
ip dhcp pool gpool
全部导入
networking10.100.10.0 255.255.255.0
dns-server#DNS##DNS#
默认路由器10.100.10.1
!
ip dhcp池wpool
全部导入
networking10.10.100.0 255.255.255.0
dns-server#DNS##DNS#
默认路由器10.10.100.1
!
ip dhcp池wgroup
原始文件wgroup.txt
!
!
ip cef
没有ip bootp服务器
没有IP域名查询
ip域名viridianspark.com
ip name-server#DNS#
ip name-server#DNS#
没有ipv6 cef
!
!
许可证udi pid CISCO881W-GN-A-K9 sn FTX143081B2
执照代理通知http://192.168.56.1:9710/clm/servlet/HttpListenServlet虚拟假人2.0
!
!
用户名pipe理员权限15机密5
!
!
ip tcp synwait-time 10
ip ssh超时60
ip ssh authentication-retries 2
!
class级地图types检查匹配任何ccp-cls-insp-traffic
匹配协议cuseeme
匹配协议的DNS
匹配协议ftp
匹配协议h323
匹配协议https
匹配协议icmp
匹配协议imap
匹配协议pop3
匹配协议netshow
匹配协议shell
匹配协议realmedia
匹配协议rtsp
匹配协议smtp
匹配协议sql-net
匹配协议stream
匹配协议tftp
匹配协议vdolive
匹配协议tcp
匹配协议udp
class级地图types检查匹配所有ccp-insp-traffic
匹配class-map ccp-cls-insp-traffic
class-maptypes检查match-any ccp-cls-icmp-access
匹配协议icmp
匹配协议tcp
匹配协议udp
class-maptypes检查匹配所有ccp-invalid-src
匹配访问组100
class-maptypes检查匹配所有ccp-icmp-access
匹配class-map ccp-cls-icmp-access
class-maptypes检查匹配所有ccp协议http
匹配协议http
!
!
政策地图types检查ccp-permit-icmpreply
classtypes检查ccp-icmp-access
检查
class class-default
通过
政策地图types检查ccp-inspect
类types检查ccp-invalid-src
拖放日志
类types检查ccp协议http
检查
class级types检查ccp-insp-traffic
检查
class class-default
下降
政策地图types检查ccp许可证
class class-default
下降
!
区域安全出区
区域安全
区域对安全性ccp-zp-self-out源自我目的地出站区域
服务策略types检查ccp-permit-icmpreply
区域对安全性ccp-zp -in-out源区域内目的地区域
服务策略types检查ccp-inspect
区域对安全性ccp-zp-out-self源出区目标自身
服务政策types检查ccp许可证
!
!
!
!
!
!
!
接口FastEthernet0
交换机端口访问VLAN 2
!
接口FastEthernet1
交换机端口访问VLAN 2
!
接口FastEthernet2
交换机端口访问VLAN 2
!
接口FastEthernet3
交换机端口访问VLAN 2
!
接口FastEthernet4
描述$ ES_WAN $$ FW_OUTSIDE $$ ETH-WAN $
IP地址#EXTERNAL_IP#255.255.255.252
ip access-group VPN中
没有IPredirect
没有ip unreachables
没有IP代理ARP
ip nat外面
IP虚拟重组
区域成员安全性出区
双面自动
速度自动
!
接口wlan-ap0
描述服务模块接口来pipe理embedded式AP
IP无编号的Vlan1
没有IPredirect
没有ip unreachables
没有IP代理ARP
ipstream入口
arp超时0
!
接口Wlan-GigabitEthernet0
说明内部交换机接口连接到embedded式AP
switchport模式中继
!
接口Vlan1
描述$ ETH-SW-LAUNCH $$ INTF-INFO-HWIC 4ESW $$ ES_LAN $$ FW_INSIDE $
IP地址10.10.10.1 255.255.255.0
没有IPredirect
没有ip unreachables
没有IP代理ARP
ipstream入口
ip nat里面
IP虚拟重组
区域成员安全区域
ip tcp adjust-mss 1452
!
接口Vlan2
IP地址10.10.100.1 255.255.255.0
ip access-group 102 in
ip helper-address 10.10.100.104
没有IPredirect
没有ip unreachables
没有IP代理ARP
ipstream入口
ip nat里面
IP虚拟重组
区域成员安全区域
!
接口Vlan3
IP地址10.100.10.1 255.255.255.0
ip access-group 101 in
没有IPredirect
没有ip unreachables
没有IP代理ARP
ipstream入口
ip nat里面
IP虚拟重组
区域成员安全区域
!
ip forward-protocol nd
IP http服务器
ip http身份validation
IP http安全服务器
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat内源列表2接口FastEthernet4过载
ip nat内源列表3接口FastEthernet4过载
ip nat内源列表4接口FastEthernet4过载
ip nat内源静态tcp 10.10.100.20 22#EXTERNAL_IP#22可扩展
ip route 0.0.0.0 0.0.0.0#EXTERNAL_GATEWAY#
!
ip access-list扩展VPN
允许任何主机10.10.100.20
允许tcp任何主机10.10.100.20等式22
允许ip 10.0.0.0 0.255.255.255 any
允许ip任何任何
允许icmp任何任何
IP访问列表扩展VPN
允许ip 10.0.0.0 0.255.255.255 any
!
logging陷阱debugging
日志10.10.100.22
访问列表1注释INSIDE_IF = Vlan1
访问列表1注释CCP_ACL类别= 2
访问列表1许可证10.10.10.0 0.0.0.255
访问列表2注释CCP_ACL类别= 2
访问列表2许可证10.10.10.0 0.0.0.255
访问列表3注释CCP_ACL类别= 2
access-list 3 permit 10.10.100.0 0.0.0.255
访问列表4注释CCP_ACL类别= 2
访问列表4许可证10.100.10.0 0.0.0.255
access-list 101 permit ip 10.100.10.0 0.0.0.255 10.100.10.0 0.0.0.255
access-list 101 deny icmp 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 101 deny ip 10.100.10.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 101 permit ip 10.100.10.0 0.0.0.255 any
访问列表101允许udp任何任何eq bootpc
访问列表101允许udp任何任何eq bootps
access-list 102 permit ip 10.10.100.0 0.0.0.255 10.10.100.0 0.0.0.255
access-list 102 permit ip 10.10.100.0 0.0.0.255 any
访问列表102允许udp任何任何eq bootpc
访问列表102允许udp任何任何eq bootps
没有CDP运行
!
!
!
!
!
控制平面
!
旗帜exec ^ CCC
欢迎来到丛林。
^ C
横幅login^ CCCI如果一台路由器出现故障,没有人在浏览互联网,它是否丢弃了任何数据包
^ C
!
线路con 0
本地login
不支持调制解调器
传输输出telnet
线路辅助0
本地login
传输输出telnet
2号线
没有激活字符
没有执行
运输首选无
运输input全部
行vty 0 4
特权级别15
本地login
inputinputtelnet ssh
!
调度程序最大任务时间5000
调度程序分配4000 1000
调度程序间隔500
结束
它看起来不像你有一个安全区域设置的'出'到'在'stream量。 你可能需要这样的东西:
! class-map type inspect match-any ccp-ssh match protocol ssh ! policy-map type inspect ccp-permit-ssh class type inspect ccp-ssh inspect ! zone-pair security ccp-zp-out-in source out-zone destination in-zone service-policy type inspect ccp-permit-ssh 尝试从不同的外部端口(例如2222)转发到本地IP上的端口22。 您目前已经为思科启用了SSH,因此会导致一些问题。
情侣故障排除步骤
我会取下所有的ACL(删除IP访问组语句),以确保。 你的NAT语句对我来说看起来是正确的,但是确保你可以用show ip nat translations来看到它们。
此外,请记住,根据NAT的操作顺序, ACL发生在NAT之前,因此您需要在外部接口上使用您的ssh规则作为公用IP。