Не могу никак настроить сабж. Структура сетки: роутер Cisco служит шлюзом в сети, подрубает к интернету и раздает его с НАТом в сеть 192.168.1.x. Мне нужно прокинуть ssh тунель к хосту внутри сети (например 192.168.1.15:80) через Cisco роутер. Подрубаюсь с внешнего мира к роутеру так: ssh -L 4080:192.168.1.15:80 <user_на_роутере>@<внешний_ip_роутера>. Подключается, ввожу пасс, пытаюсь со своего хоста (с которого выполнял команду) зайти на http://localhost:4080 а там ничего. В консоли с подключением к роутеру при каждой попытке подключиться к http://localhost:4080 выдает строки:
router#channel 3: open failed: resource shortage: router#
и ноль реакции. Аналогично строка w3m -dump http://localhost:4080 ничего не выводит. Конфиг (его часть) openssh-server на машине 192.168.1.15:
AllowTcpForwarding yes
X11Forwarding yes
X11DisplayOffset 10
PrintMotd no
PrintLastLog yes
TCPKeepAlive yes
Конфиг на циске (часть которая хоть как то относится к портам и ACL):
interface Virtual-PPP1 интерфейс к провайдеру
ip address negotiated
ip access-group FIREWALL_IN in
ip access-group FIREWALL_OUT out
ip mtu 1492
ip nat outside
ip inspect INTERNET out
ip virtual-reassembly
ip tcp adjust-mss 1452
load-interval 30
no peer neighbor-route
no cdp enable
ppp authentication chap ms-chap ms-chap-v2 callin
ppp chap hostname что-то
ppp chap password 7 что-то
pseudowire что-то 10 pw-class что-то
!
ip inspect tcp reassembly queue length 128
ip inspect tcp reassembly timeout 1000
ip inspect name INTERNET http timeout 3600
ip inspect name INTERNET tcp timeout 3600
ip inspect name INTERNET udp timeout 15
ip inspect name INTERNET ftp timeout 3600
ip inspect name INTERNET icmp
ip inspect name INTERNET https timeout 3600
ip inspect name INTERNET ssh
!
ip access-list extended FIREWALL_IN
permit tcp any any eq 22
permit tcp any any дописал уже от отчаяния
permit ipinip any any log-input дописал уже от отчаяния
ip access-list extended FIREWALL_OUT
permit ip any any
deny tcp any eq domain any
permit icmp any any
ip access-list extended SSH_ACL
permit tcp any any eq 22 log-input
permit tcp 192.168.1.0 0.0.0.255 any eq 22 log-input
deny tcp any any log-input
!
line vty 0 4
access-class SSH_ACL in
exec-timeout 20 0
transport preferred ssh
transport input ssh
По обычному ssh я конечно подлкючаюсь нормально из внешки и из самой сети. Что говорит гугл по этому поводу, кидает на похожую проблему на opennet где люди сказали что cisco не поддерживает такое, во что мне не сильно верится. Помогите побороть проблему.
Заранее спасибо!