Question : Windows VPN par Cisco 1721

J'ai remplacé les linksys befsr41 par Cisco 1721, le client de Windows VPN à des SBS 2003 travaillés avant avec des ports 1723 et 47 using les deux protocoles relatif aux linksys. Maintenant le client montre vérifier l'username et le mot de passe et essaye de se relier using tous les protocoles, mais périodes dehors au code d'erreur 800. Ce qui suit est la config pour mon 1721, je suis évidemment absent quelque chose mais ne peux pas tout à fait mettre mon doigt là-dessus. J'ai récemment ajouté la ligne de GRE dans mon ACL fa0/1_in mais cela n'a eu aucun affect. Est-ce que je dois ajouter quelque chose dans le mon inspecte la règle pour assurer l'en partance pour le VPN ? les horodateurs du

version 12.3
service corrigent le mot de passe-encryption
de service du msec
no du msec
service de notation date-heure d'horodateurs !
hostname Router
!
boot-start-marker
boot-end-marker
!
du niveau 15 de mot de passe du
enable de `de ~~~~~~~~~~~~~~~~~~~~~~~ du secret 5 du
enable ! SNMP-temps mort automatique-configure
aaa nouveau-model
du pvc
mmi de MMI de MMI/>no du vote-intervalle 60
no du recurring
mmi de l'été S de GMT -6
clock de fuseau horaire du
~~~~~~~~~~~~~~
clock !
! rad_eap
de rayon de serveur de groupe du
aaa ! rad_mac
de rayon de serveur de groupe du
aaa ! rad_acct
de rayon de serveur de groupe du
aaa ! rad_admin
de rayon de serveur de groupe du
aaa ! tac_admin
du serveur tacacs+ de groupe du
aaa ! rad_pmip
de rayon de serveur de groupe du
aaa ! dummy
de rayon de serveur de groupe du
aaa ! filet inférieur-zero
du common
ip de session-identification du rad_acct
aaa de groupe du
aaa de défaut d'exec d'autorisation du local
aaa de mac_methods d'ouverture d'authentification du rad_eap
aaa de groupe d'eap_methods d'ouverture d'authentification du local
aaa de défaut d'ouverture d'authentification du
aaa de comptabilité d'acct_methods locaux de réseau !
!
! bail 0 2
du
de 10.10.255.254 de transférer-routeur du
de 4.2.2.2 8.8.8.8 de DNS-serveur du
de 10.10.252.0 255.255.252.0 de réseau de la piscine vlan20
de DHCP du
ip !
! le cef
ip du lookup
ip de domaine d'IP du
no inspectent l'udp
ip de MyInspectRule inspectent l'icmp
ip de MyInspectRule inspectent le ftp
ip de MyInspectRule inspectent le tftp
ip de MyInspectRule inspectent le smtp
ip de MyInspectRule inspectent le realaudio
ip de MyInspectRule inspectent le tcp
ip de MyInspectRule inspectent les maximum-événements nommés du http
ip IPS PO de MyInspectRule que le ftp server de 100
no écrivent-enable
!
! le cn=IOS-Self-Signed-Certificate-3176379460
de sujet-nom du trustpoint TP-self-signed-3176379460
de pki du
crypto révocation-vérifient le rsakeypair TP-self-signed-3176379460
du none
! le cn=IOS-Self-Signed-Certificate-1328200160
de sujet-nom du trustpoint TP-self-signed-1328200160
de pki du
crypto révocation-vérifient le rsakeypair TP-self-signed-1328200160
du none
!
!
!
!
!
!
! l'IP national de l'outside
d'IP de l'in
du l'accès-groupe fa0/1_in d'IP du
de l'IP address a.b.c.d 255.255.255.252 du
interface FastEthernet0
inspectent l'auto
de vitesse d'IP/> de l'out
de MyInspectRule ! accès 10
de switchport du
interface FastEthernet1
aucun
d'IP address ! accès 20
de switchport du
interface FastEthernet2
aucun
d'IP address ! accès 20
de switchport du
interface FastEthernet3
aucun
d'IP address ! accès 20
de switchport du
interface FastEthernet4
aucun
d'IP address ! le
interface Vlan1
aucun
d'IP address aucun cef
de conduire-cachette d'IP aucun IP conduisent-cache
! IP national/> virtuel-reassembly
d'IP du
de 192.168.1.1 255.255.255.0 d'IP address de WPD_Admin
de description du
interface Vlan10
aucun lien-status
de piège de SNMP ! IP national/> virtuel-reassembly
d'IP de l'out
du l'accès-groupe 105 d'IP de l'in
du l'accès-groupe 105 d'IP du
de 10.10.255.254 255.255.252.0 d'IP address de Boater_Network
de description du
interface Vlan20
! extendable
ip d'IP de l'aaa
no d'authentification de HTTP du server
ip de HTTP d'IP du permanent
no de 0.0.0.0 0.0.0.0 a.b.c.e d'itinéraire du classless
ip du
ip de source de HTTP de conduire-carte de MyRouteMap de l'interface FastEthernet0 de l'overload
ip de source de tcp 192.168.1.3 25 a.b.c.d 25 de l'extendable
ip de source de tcp 192.168.1.3 a.b.c.d 47 de l'extendable
ip de source de tcp 192.168.1.3 80 a.b.c.d 80 de l'extendable
ip de source de tcp 192.168.1.3 110 a.b.c.d 110 de l'extendable
ip de source de tcp 192.168.1.3 443 a.b.c.d 443 de l'extendable
ip de source de tcp 192.168.1.3 1723 a.b.c.d de source intérieure nationale statique intérieure nationale statique intérieure nationale statique intérieure nationale statique intérieure nationale statique intérieure nationale statique intérieure nationale intérieure nationale bloquée-server
ip/> !
!
! l'accès-liste du
ip a prolongé l'ICMP de laiss de fa0/1_in
n'importe quel ICMP de laiss du l'écho-reply
du centre serveur a.b.c.d n'importe quel ICMP de laiss du temps-exceeded
du centre serveur a.b.c.d n'importe quel gre de laiss de l'unreachable
du centre serveur a.b.c.d n'importe quelle laiss tcp de l'any
n'importe quelle laiss tcp de l'eq 443
du centre serveur a.b.c.d n'importe quelle laiss tcp du www
d'eq du centre serveur a.b.c.d n'importe quelle laiss tcp du smtp
d'eq du centre serveur a.b.c.d n'importe quelle laiss tcp de l'eq pop3
du centre serveur a.b.c.d n'importe quelle laiss tcp de l'eq 22
du centre serveur a.b.c.d n'importe quelle laiss tcp de l'eq 1723
du centre serveur a.b.c.d n'importe quelle laiss tcp de l'eq 47
du centre serveur a.b.c.d n'importe quel centre serveur que l'eq 3389
d'a.b.c.d nient l'any
d'IP 10.0.0.0 0.255.255.255 nient l'any
d'IP 192.168.0.0 0.0.255.255 nient l'any
d'IP 127.0.0.0 0.255.255.255 nient l'any
de 255.255.255.255 de centre serveur d'IP nier le centre serveur d'IP que l'any
de 0.0.0.0 refusent à IP n'importe quel n'importe quel any
d'IP 10.10.252.0 0.0.0.255 de laiss de l'any
access-list 102 d'IP 192.168.1.0 0.0.0.255 de laiss du log
access-list 102 ! IP address 102
d'allumette de la laiss 1
du
route-map MyRouteMap !
!
control-plane
! ^CC
d'ouverture du
banner-----------------------------------------------------------------------le dispositif du
This est constamment surveillé par des tentatives d'ATC.
Any de changer le degré de sécurité de ce dispositif action judiciaire immédiate du lead
to punissable par la mort ! désordre du

Do pas avec lui ! ! !
-----------------------------------------------------------------------
^C
! transports vty vty aux. du niveau de privilège du ssh
line 5 15
de telnet d'entrée de transport de/> de mot de passe du niveau de privilège de l'escroquerie 0
line 0
line les 0 4
du
line 15
15
ont entré telnet ssh class= de

Réponse : Windows VPN par Cisco 1721

le problème est que GRE n'est pas TCP, c'est le protocole 47 d'IP, et dans la mesure où je peux me rappeler, il n'y a aucune option pour spécifier le protocole 47 dans un NAT statique. Vous avez déjà le gre de laiss tout et 1723 ont défini.
Enlever les rapports nationaux statiques de tcp et faire celui à un, tous les ports car votre ACL admettra ce que vous avez défini.


aucune source intérieure nationale tcp statique 192.168.1.3 d'IP 25 a.b.c.d 25 extensibles
aucune source intérieure nationale tcp statique 192.168.1.3 a.b.c.d 47 d'IP extensible
aucune source intérieure nationale tcp statique 192.168.1.3 d'IP 80 a.b.c.d 80 extensibles
aucune source intérieure nationale tcp statique 192.168.1.3 d'IP 110 a.b.c.d 110 extensibles
aucune source intérieure nationale tcp statique 192.168.1.3 d'IP 443 a.b.c.d 443 extensibles
aucune source intérieure nationale tcp statique 192.168.1.3 d'IP 1723 a.b.c.d 1723 extensibles
aucune source intérieure nationale tcp statique 192.168.1.3 d'IP 3389 a.b.c.d 3389 extensibles

source intérieure nationale 192.168.1.3 statique a.b.c.d d'IP extensible


Billy