文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >允许通过Cisco 2921进入DD-WRT设备的VPN连接

允许通过Cisco 2921进入DD-WRT设备的VPN连接
EN

Server Fault用户
提问于 2013-02-18 21:53:30
回答 1查看 1.5K关注 0票数 0

Cisco路由器连接到Gi0/2上的广域网,并连接到Gi0/0上的192.168.1.0/24 LAN。

DD设备的IP为192.168.1.3/24。

我希望DD-WRT路由器处理传入的VPN连接(PPTP)。

在Cisco设备上,我假设我需要一个ACL应用在Internet接口的入站,TCP (和UDP?) 47和TCP 1723允许从任何IP和入站NAT设置TCP 1723 (适用于广域网IP?)

运行Config

代码语言:javascript
复制
   R1#show run
Building configuration...


Current configuration : 1903 bytes
!
! Last configuration change at 01:16:34 UTC Fri Feb 22 2013

version 15.1

service timestamps debug datetime msec

service timestamps log datetime msec
no service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

!

enable secret *************************

enable password ****************************

!

no aaa new-model

!
no ipv6 cef

ip source-route

ip cef

!
!
!
ip dhcp excluded-address 192.168.2.1

ip dhcp excluded-address 192.168.2.1 192.168.2.99

ip dhcp excluded-address 192.168.2.1 192.168.2.50

!
ip dhcp pool DHCP_POOL

 network 192.168.2.0 255.255.255.0

 default-router 192.168.2.1

 dns-server 8.8.8.8

 domain-name subnet2.local
!
!

multilink bundle-name authenticated

!
!
!
!
!

crypto pki token default removal timeout 0

!
!

voice-card 0

!
!
!
!
!
!
!

license udi pid CISCO2921/K9 sn FTX1703AHBN

hw-module pvdm 0/0

!
!
!
!

redundancy

!
!
!
!
!
!

interface Embedded-Service-Engine0/0

 no ip address

shutdown

!

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly in

 duplex auto

 speed auto

 no mop enabled

!

interface GigabitEthernet0/1

 ip address 192.168.2.1 255.255.255.0

 duplex auto

 speed auto
!
interface GigabitEthernet0/2

 ip address ****************

 ip nat outside

 ip virtual-reassembly in

 duplex auto

 speed auto

!
ip forward-protocol nd

!
no ip http server

no ip http secure-server

!
ip nat inside source list 1 interface GigabitEthernet0/2 overload

ip route 0.0.0.0 0.0.0.0 **************

!

access-list 1 permit 192.168.1.0 0.0.0.255

!
!
!

control-plane

!
!
!
!

mgcp profile default

!
!
!
!
!

gatekeeper

 shutdown

!
!
!
line con 0

line aux 0

line 2

 no activation-character

 no exec

 transport preferred none

 transport input all

 transport output pad telnet rlogin lapb-ta mop udptn v120 ssh

 stopbits 1

line vty 0 4

 password *******************

 login

 transport input all

!


scheduler allocate 20000 1000
end

建议的命令后的

Config

R1#ping 8.8.8.8

键入转义序列以中止。

发送5,100字节ICMP Echos到8.8.8.8,超时为2秒:.成功率为0% (0/5)

R1#show运行

建筑配置..。

当前配置: 2152字节!最后一次配置更改时间为2013年2月22日世界协调时01:40:48

第15.1版

服务时间戳调试日期时间msec

服务时间戳日志日期时间msec

无服务密码加密

好了!主机名R1

好了!

启动-启动标记

引导端标记

!!

启用秘密*

启用密码*

好了!无aaa新型号

好了!

无ipv6 cef

ip源路由

ip cef

ip dhcp除外-地址192.168.2.1

ip dhcp除外-地址192.168.2.1 192.168.2.99

ip dhcp除外-地址192.168.2.1 192.168.2.50

好了!ip池DHCP_POOL

网络192.168.2.0 255.255.255.0

默认路由器192.168.2.1

dns-服务器8.8.8.8

域名子网2.本地

多链路包名认证

密码pki令牌默认删除超时0

声卡0

嵌入式接口-服务-工程0/0

无ip地址

关机

接口GigabitEthernet0 0/0

ip地址192.168.1.1 255.255.255.0

ip nat内部

中的ip虚拟重组

双工自动

速度自动

没有启用拖把

好了!接口GigabitEthernet0 0/1

ip地址192.168.2.1 255.255.255.0

双工自动

速度自动!接口GigabitEthernet0 0/2

ip地址广域网

ip接入-第110组

外ip nat

中的ip虚拟重组

双工自动

速度自动!ip转发协议

没有ip http服务器

没有ip http安全-服务器

ip nat在源列表1接口GigabitEthernet0 0/2过载

ip nat内部静态tcp 192.168.1.3 1723接口GigabitEthernet0 0/2 17 23

ip路由0.0.0.0 0.0.0.0 108.162.28.169

查阅清单1许可证192.168.1.0 0.0.0.255

访问-列表101允许任何ip任何

访问-清单110允许任何主机登录

访问列表110允许tcp任何主机192.168.1.3 eq 1723

控制平面

mgcp配置文件默认值

看门人

关机

线CON0

线aux 0

第2行

无激活字符

无主管

运输无优先考虑

传输输入全

传输输出垫telnet rlogin lapb-ta mop v120 ssh

塞子1

线vty 0 4

密码*

登录

传送输入完毕!调度程序分配20000 1000端

R1#

vpn
cisco
router
EN

回答 1

Server Fault用户

回答已采纳

发布于 2013-02-20 15:18:31

给予:

代码语言:javascript
复制
access-list 1 permit 192.168.1.0 0.0.0.255 
ip nat inside source list 1 interface gi0/2 overload 
interface gi0/0 
  ip nat inside 

inter gi0/2 
  ip nat outside

然后,您可以将DDWRT的端口转发如下:

代码语言:javascript
复制
ip nat inside source static tcp 192.168.1.3 1723 interface gi0/2 1723

结果证明..。对于PPTP前向端口,您不需要打开端口47,而需要打开协议47。

IP协议47也被称为通用路由封装

代码语言:javascript
复制
access-list 101 permit 47 any host 192.168.1.3 log
access-list 101 permit tcp any host 192.168.1.3 eq 1723
access-list 101 permit ip any any

您可以将ACL应用于接口

代码语言:javascript
复制
int gi0/2
ip access-group 101 in

编辑

丢失了permit ip any any行,这就是为什么您失去了局域网访问(可能)。

票数 1
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/480080

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档