Questione : Windows VPN attraverso Cisco 1721

Ho sostituito linksys befsr41 con Cisco 1721, il cliente di Windows VPN ad uno SBS 2003 funzionato prima con gli orificii 1723 e 47 using entrambi i protocolli relativo ai linksys. Ora il cliente mostra la verifica il username e della parola d'accesso e prova a collegarsi using tutti protocolli, ma periodi fuori con il codice di errore 800. Ciò che segue è il config per il mio 1721, io manco ovviamente qualcosa ma non può abbastanza mettere la mia barretta su esso. Recentemente ho aggiunto la linea di GRE nel mio ACL fa0/1_in ma quello non ha avuto influenza. Devo aggiungere qualcosa in mio controllo la regola per il diretto all'estero per il VPN? i timestamp del

version 12.3
service mettono a punto la parola d'accesso-encryption
di servizio del msec
no del msec
service del ceppo datetime dei timestamp!
hostname Router
!
boot-start-marker
boot-end-marker
!
del Livello 15 di parola d'accesso del
enable del `del ~~~~~~~~~~~~~~~~~~~~~~~ di segreto 5 del
enable! SNMP-prespegnimento auto-configure
aaa nuovo-model
del pvc
mmi di mmi di mmi/>no di votazione-intervallo 60
no del recurring
mmi di estate S del GMT -6
clock di timezone del
~~~~~~~~~~~~~~
clock!
! rad_eap
del raggio dell'assistente del gruppo del
aaa! rad_mac
del raggio dell'assistente del gruppo del
aaa! rad_acct
del raggio dell'assistente del gruppo del
aaa! rad_admin
del raggio dell'assistente del gruppo del
aaa! tac_admin
dell'assistente tacacs+ del gruppo del
aaa! rad_pmip
del raggio dell'assistente del gruppo del
aaa! dummy
del raggio dell'assistente del gruppo del
aaa! sottorete-zero
del common
ip di sessione-identificazione del rad_acct
aaa del gruppo del
aaa di difetto del exec di autorizzazione del local
aaa dei mac_methods di inizio attività di autenticazione del rad_eap
aaa del gruppo dei eap_methods di inizio attività di autenticazione del local
aaa di difetto di inizio attività di autenticazione del
aaa di contabilità dei acct_methods locali della rete!
!
! contratto d'affitto 0 2
del
di 10.10.255.254 del stabilizzare-router del
di 4.2.2.2 8.8.8.8 dell'dns-assistente del
di 10.10.252.0 255.255.252.0 della rete dello stagno vlan20
di DHCP del
ip!
! il cef
ip del lookup
ip di dominio del IP del
no controlla il udp
ip di MyInspectRule controlla il icmp
ip di MyInspectRule controlla il ftp
ip di MyInspectRule controlla il tftp
ip di MyInspectRule controlla lo smtp
ip di MyInspectRule controlla il realaudio
ip di MyInspectRule controlla il tcp
ip di MyInspectRule controlla gli massimo-eventi nomi del http
ip l'IPS po di MyInspectRule il ftp server di 100
no che scrive-enable
!
! il cn=IOS-Self-Signed-Certificate-3176379460
di oggetto-nome del trustpoint TP-self-signed-3176379460
di pki del
crypto annullamento-controlla il rsakeypair TP-self-signed-3176379460
del none
! il cn=IOS-Self-Signed-Certificate-1328200160
di oggetto-nome del trustpoint TP-self-signed-1328200160
di pki del
crypto annullamento-controlla il rsakeypair TP-self-signed-1328200160
del none
!
!
!
!
!
!
! il IP nazionale del outside
del IP del in
del accesso-gruppo fa0/1_in del IP del
di IP address a.b.c.d 255.255.255.252 del
interface FastEthernet0
controlla il auto
di velocità del IP/> del out
di MyInspectRule! accesso 10
dello switchport del
interface FastEthernet1
nessun
di IP address! accesso 20
dello switchport del
interface FastEthernet2
nessun
di IP address! accesso 20
dello switchport del
interface FastEthernet3
nessun
di IP address! accesso 20
dello switchport del
interface FastEthernet4
nessun
di IP address! il
interface Vlan1
nessun
di IP address nessun cef
del dirigere-nascondiglio del IP nessun IP dirige-cache
! IP nazionale/> virtuale-reassembly
del IP del
di 192.168.1.1 255.255.255.0 di IP address di WPD_Admin
di descrizione del
interface Vlan10
nessun collegamento-status
della presa dello SNMP! IP nazionale/> virtuale-reassembly
del IP del out
del accesso-gruppo 105 del IP del in
del accesso-gruppo 105 del IP del
di 10.10.255.254 255.255.252.0 di IP address di Boater_Network
di descrizione del
interface Vlan20
! extendable
ip del IP del aaa
no di autenticazione di HTTP del server
ip del HTTP del IP del permanent
no di 0.0.0.0 0.0.0.0 a.b.c.e dell'itinerario del classless
ip del
ip di fonte del HTTP del dirigere-programma di MyRouteMap dell'interfaccia FastEthernet0 del overload
ip di fonte di tcp 192.168.1.3 25 a.b.c.d 25 del extendable
ip di fonte di tcp 192.168.1.3 a.b.c.d 47 del extendable
ip di fonte di tcp 192.168.1.3 80 a.b.c.d 80 del extendable
ip di fonte di tcp 192.168.1.3 110 a.b.c.d 110 del extendable
ip di fonte di tcp 192.168.1.3 443 a.b.c.d 443 del extendable
ip di fonte di tcp 192.168.1.3 1723 a.b.c.d di fonte interna nazionale statica interna nazionale statica interna nazionale statica interna nazionale statica interna nazionale statica interna nazionale statica interna nazionale interna nazionale sicura-server
ip/>!
!
! la accesso-lista del
ip ha esteso il ICMP del permesso di fa0/1_in
tutto il ICMP del permesso di eco-reply
ospite a.b.c.d qualunque ICMP del permesso di tempo-exceeded
ospite a.b.c.d tutto il gre del permesso del unreachable
ospite a.b.c.d qualunque permesso tcp del any
tutto il permesso tcp del eq 443
ospite a.b.c.d qualunque permesso tcp del www
del eq ospite a.b.c.d tutto il permesso tcp dello smtp
del eq ospite a.b.c.d qualunque permesso tcp del eq pop3
ospite a.b.c.d tutto il permesso tcp del eq 22
ospite a.b.c.d qualunque permesso tcp del eq 1723
ospite a.b.c.d tutto il permesso tcp del eq 47
ospite a.b.c.d qualunque ospite il eq 3389
di a.b.c.d che nega il any
del IP 10.0.0.0 0.255.255.255 nega il any
del IP 192.168.0.0 0.0.255.255 nega il any
del IP 127.0.0.0 0.255.255.255 nega il any
di 255.255.255.255 ospite del IP negare l'ospite del IP il any
di 0.0.0.0 che rifiuta a IP tutto il qualunque any
del IP 10.10.252.0 0.0.0.255 del permesso del any
access-list 102 del IP 192.168.1.0 0.0.0.255 del permesso del log
access-list 102! IP address 102
del fiammifero del permesso 1
del
route-map MyRouteMap!
!
control-plane
! ^CC
di inizio attività del
banner-----------------------------------------------------------------------il dispositivo del
This è controllato costantemente dai tentativi di ATC.
Any di alterare la sicurezza di questo dispositivo azione legale immediata del lead
to punibile dalla morte! disordine del

Do non con esso!!!
-----------------------------------------------------------------------
^C
! trasporti vty vty aus. del livello di privilegio dello ssh
line 5 15
del telnet dell'input di trasporto di/> di parola d'accesso del livello di privilegio di imbroglione 0
line 0
line i 0 4
del
line 15
15
hanno immesso il telnet ssh class= del

Risposta : Windows VPN attraverso Cisco 1721

il problema è che GRE non è TCP, esso è protocollo 47 del IP e per quanto posso ricordarmi, non ci è opzione per specificare il protocollo 47 in un NAT statico. Già avete gre del permesso qualsiasi affatto e 1723 hanno definito.
Rimuovere le dichiarazioni nazionali statiche di tcp e fare quello - uno, tutti gli orificii poichè il vostro ACL ammetterà che cosa avete definito.


nessuna fonte interna nazionale tcp statico 192.168.1.3 del IP 25 a.b.c.d 25 allungabili
nessuna fonte interna nazionale tcp statico 192.168.1.3 a.b.c.d 47 del IP allungabile
nessuna fonte interna nazionale tcp statico 192.168.1.3 del IP 80 a.b.c.d 80 allungabili
nessuna fonte interna nazionale tcp statico 192.168.1.3 del IP 110 a.b.c.d 110 allungabili
nessuna fonte interna nazionale tcp statico 192.168.1.3 del IP 443 a.b.c.d 443 allungabili
nessuna fonte interna nazionale tcp statico 192.168.1.3 del IP 1723 a.b.c.d 1723 allungabili
nessuna fonte interna nazionale tcp statico 192.168.1.3 del IP 3389 a.b.c.d 3389 allungabili

fonte interna nazionale 192.168.1.3 statico a.b.c.d del IP allungabile


Billy