Cisco 1841 VPN probléma!

Hálózati eszközök

Sziasztok!

Adott egy VPN kapcsolat, minden működik aminek működni kell kivéve annyit hogy nem lehet elérni egy SSH-t az alapértelmezett 22-es porton.
Belső hálózaton sikerül elérni az SSH-t a 22 porton.

Valakinek valami ötlet?

Előre is köszi.

( stra | 2015. 08. 19., sze – 11:12 )

Egy hasonló kérdést már feltettél néhány nappal ezelőtt NAT témában. Ez összefügg vele? Nincs NAT-olva ez a forgalom? Adj releváns konfigrészleteket, légy szíves. Van log? Mit látsz az SSH session két oldalán?

Szia!

Igen valóban pár nappal ezelőtt fel tettem egy hasonló kérdést.

Ott annyi problémám volt hogy az SSH-t külsőleg nem tudtam elérni és utána egy félre írt ACL volt a ludas.
Köszönöm az abban lévő topicban a segítségeteket, pont ezért fordultam újból hozzátok.

Viszont most a helyzet az hogy VPN klienssel csatlakoznak addig elvileg elérhető volt amíg nem módosítottam az ACL-t, viszont most nem.
Akkor elvileg az ACL lenne a probléma? De miért zavarná a VPN-t ez az ACL, mivel belső hálózatról elérem gond nélkül és a VPN-nél.

Bezavarhat a VPN-nek az alábbi ACL beállítás?

-permit tcp any any eq 22

de nem tartozik hozzá NAT.

Köszönöm a válaszokat előre is.

"VPN klienssel csatlakoznak"
"Akkor elvileg az ACL lenne a probléma?"
Vélhetőleg _valamelyik_ ACL.

"De miért zavarná a VPN-t ez az ACL, mivel belső hálózatról elérem gond nélkül"
Ha egy subnetben bozogsz, akkor a routert nem is érinti az a forgalom.

"Bezavarhat a VPN-nek az alábbi ACL beállítás?
-permit tcp any any eq 22"
Ez maximum ACE, és nem ACL. Továbbá ezt az ACL-t mire használod, hol hivatkozol rá?
Egy ACL önmagában nem csinál semmit, valamilyen kontextusban kell használnod. Tehát a kontextust is add meg.

Rövidítsünk:
NAT-tal érintett interfészkonfigok
NAT konfig statikus és dinamikus, ACL-lel együtt
VPN konfig releváns része, elsősorban a split-tunnelt meghatározó ACL

Alapvetően két lehetőséged van:
a) a statikus NAT-nál egy route-map-en és alatta egy ACL-en keresztül megadni, hogy a NAT mikor teljesüljön (ip nat inside source static ... route-map ...; illetve route-map ...)
b) a VPN-t VTI-sre alakítani, és a dVTI (Virtual-TemplateX) interfészt nem jelölni "ip nat outside"-dal

az ilyen jellegű problémáknál - legalább az ide vonatkozó - konfigurációs parancsok kellenének, stra kolléga leírásából én úgy látom h kb átnézése után már tudná is a választ, mint közülünk sokan akik viszonylag nagy mennyiségben termelik a hálózati eszközök konfigurációját :). Természetesen minden "érzékeny" (IP cím, jelszó hash, stb) infot kiszedve, az számunkra lényegtelen rizsa :) hivatkozni néha kell, tehát pl IP és/vagy interface helyére XXXX egyéb dolgoknál hasonlóan, hogy egyértelmű legyen.
Tipikusan ilyenek az ACE-k és object-groupok, NAT-szabályok, stb.
Ahogy elnézem direktbe itt nem lehet csatolni, de pl pastebin link gondolom engedélyezett, bár hup-on "újnak" számító vagyok, szakmában azért már kevésbé ;-) :D