LINUX.ORG.RU
ФорумAdmin

Тунель SSH через роутер Cisco 181x


0

1

Не могу никак настроить сабж. Структура сетки: роутер Cisco служит шлюзом в сети, подрубает к интернету и раздает его с НАТом в сеть 192.168.1.x. Мне нужно прокинуть ssh тунель к хосту внутри сети (например 192.168.1.15:80) через Cisco роутер. Подрубаюсь с внешнего мира к роутеру так: ssh -L 4080:192.168.1.15:80 <user_на_роутере>@<внешний_ip_роутера>. Подключается, ввожу пасс, пытаюсь со своего хоста (с которого выполнял команду) зайти на http://localhost:4080 а там ничего. В консоли с подключением к роутеру при каждой попытке подключиться к http://localhost:4080 выдает строки:

router#channel 3: open failed: resource shortage: router#

и ноль реакции. Аналогично строка w3m -dump http://localhost:4080 ничего не выводит. Конфиг (его часть) openssh-server на машине 192.168.1.15:

AllowTcpForwarding yes

X11Forwarding yes

X11DisplayOffset 10

PrintMotd no

PrintLastLog yes

TCPKeepAlive yes

Конфиг на циске (часть которая хоть как то относится к портам и ACL):

interface Virtual-PPP1 интерфейс к провайдеру

ip address negotiated

ip access-group FIREWALL_IN in

ip access-group FIREWALL_OUT out

ip mtu 1492

ip nat outside

ip inspect INTERNET out

ip virtual-reassembly

ip tcp adjust-mss 1452

load-interval 30

no peer neighbor-route

no cdp enable

ppp authentication chap ms-chap ms-chap-v2 callin

ppp chap hostname что-то

ppp chap password 7 что-то

pseudowire что-то 10 pw-class что-то

!

ip inspect tcp reassembly queue length 128

ip inspect tcp reassembly timeout 1000

ip inspect name INTERNET http timeout 3600

ip inspect name INTERNET tcp timeout 3600

ip inspect name INTERNET udp timeout 15

ip inspect name INTERNET ftp timeout 3600

ip inspect name INTERNET icmp

ip inspect name INTERNET https timeout 3600

ip inspect name INTERNET ssh

!

ip access-list extended FIREWALL_IN

permit tcp any any eq 22

permit tcp any any дописал уже от отчаяния

permit ipinip any any log-input дописал уже от отчаяния

ip access-list extended FIREWALL_OUT

permit ip any any

deny tcp any eq domain any

permit icmp any any

ip access-list extended SSH_ACL

permit tcp any any eq 22 log-input

permit tcp 192.168.1.0 0.0.0.255 any eq 22 log-input

deny tcp any any log-input

!

line vty 0 4

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

По обычному ssh я конечно подлкючаюсь нормально из внешки и из самой сети. Что говорит гугл по этому поводу, кидает на похожую проблему на opennet где люди сказали что cisco не поддерживает такое, во что мне не сильно верится. Помогите побороть проблему.

Заранее спасибо!

Трафик из внешки натится на directly connected interface или нет? LAN в сиськи (или подинтерфейс) должен быть в одной сетке (по адресации), что и комп, к которому подключаешься. 1) выложи часть конфига NAT 2) запусти сниффер на другом компе, и посмотри доходит ли трафик хотя бы в одну сторону, (несмотря на то что ты даже вводил пароль, то есть соединение установилось, а для этого трафик ходит в оба конца) 3) описанные порты соответствуют действительности? если нет, то советую проверить бан со стороны провайдера по портам.

andrew667 ★★★★★ ()
Ответ на: комментарий от andrew667

Извиняюсь что пропал. По сабжу, все пашет как надо кроме тунелей ssh, скину весь конфиг чтобы вопросов не было больше. Комп в том же влане, он там один - первый. Запускаю tcpdump -i eth0 port 80 на машинке к которой пытаюсь прокинуть тунель, там все молчит. Да описаные порты соответствуют действительности. Ограничения по портам у провайдера нет точно (во всяком случае по этим) так как сейчас реализовал задачу прокидыванием порта через NAT + ACL и все успешно работает. Но хотелось бы всетаки разобраться в чем дело. Спасибо!

Конфиг:

router#sh run

Building configuration...

Current configuration : 6512 bytes

!

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

service internal

service compress-config

!

hostname router

!

boot-start-marker

boot system flash c181x-advipservicesk9-mz.124-24.T7.bin

boot-end-marker

!

logging message-counter syslog

logging userinfo

logging buffered 32000

logging rate-limit all 10 except errors

no logging console

enable secret 5 <secret_pass>

!

aaa new-model

!

!

aaa authentication login default local

aaa authentication ppp default local

aaa authorization exec default local

aaa authorization network default none

!

!

aaa session-id common

clock timezone MSK 4

!

!

dot11 syslog

no ip source-route

!

!

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.1.1 192.168.1.99

!

ip dhcp pool LocalDHCP

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

domain-name local

dns-server 192.168.1.1 <dns1> <dns2>

lease infinite

!

!

ip cef

no ip bootp server

ip domain retry 5

ip domain timeout 1

ip domain name local

ip inspect tcp reassembly queue length 128

ip inspect tcp reassembly timeout 1000

ip inspect name INTERNET http timeout 3600

ip inspect name INTERNET tcp timeout 3600

ip inspect name INTERNET udp timeout 15

ip inspect name INTERNET ftp timeout 3600

ip inspect name INTERNET icmp

ip inspect name INTERNET https timeout 3600

ip ddns update method No-Ip_dyndns

HTTP

add <update_ddns_name>

!

login block-for 120 attempts 3 within 30

login delay 1

login on-failure log

login on-success log

no ipv6 cef

l2tp-class <name_l2tp_class>

!

!

multilink bundle-name authenticated

!

!

!

file verify auto

username velp privilege 15 secret 5 <secret_pass>

!

!

!

archive

log config

logging enable

notify syslog contenttype plaintext

hidekeys

!

!

ip ssh version 2

pseudowire-class <name_class>

encapsulation l2tpv2

protocol l2tpv2 <name_l2tp_class>

ip local interface FastEthernet0

!

!

!

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!

interface FastEthernet0

ip dhcp client update dns

ip address dhcp

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1452

logging event subif-link-status

load-interval 30

duplex auto

speed auto

!

interface FastEthernet1

no ip address

shutdown

duplex auto

speed auto

!

interface FastEthernet2

!

interface FastEthernet3

!

interface FastEthernet4

!

interface FastEthernet5

!

interface FastEthernet6

!

interface FastEthernet7

!

interface FastEthernet8 !

interface FastEthernet9

!

interface Virtual-PPP1

description VPN_Beeline

ip ddns update No-Ip_dyndns

ip address negotiated

ip access-group FIREWALL_IN in

ip access-group FIREWALL_OUT out

ip mtu 1492

ip nat outside

ip inspect INTERNET out

ip virtual-reassembly max-reassemblies 256

ip tcp adjust-mss 1452

load-interval 30

no peer neighbor-route

no cdp enable

ppp authentication chap ms-chap ms-chap-v2 callin

ppp chap hostname <user>

ppp chap password 7 <password>

pseudowire <l2tp_server> 10 pw-class BeelineInternet

!

interface Vlan1

ip address 192.168.1.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1400

load-interval 30

!

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 permanent

ip route <l2tp_server> 255.255.255.0 dhcp

ip route <dns2> 255.255.255.0 dhcp

ip route <dns1> 255.255.255.0 dhcp

ip route 10.0.0.0 255.0.0.0 dhcp

no ip http server

no ip http secure-server

!

!

ip dns server

ip nat inside source list LAN interface FastEthernet0 overload

ip nat inside source list WAN interface Virtual-PPP1 overload

ip nat inside source static tcp <rdp_host> 3389 interface Virtual-PPP1 3389

ip nat inside source static tcp 192.168.1.15 80 interface Virtual-PPP1 4080

ip nat inside source static tcp <host> 22 interface Virtual-PPP1 4422

!

ip access-list standard NTP_SERVERS

permit 95.140.150.140

permit 80.240.109.22

permit 93.180.6.3

deny any

ip access-list standard SNMP_ACL

permit <server_snmp>

deny any

!

ip access-list extended FIREWALL_IN

permit tcp any any eq 22

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 3389

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 4080

permit udp any any eq ntp log-input

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 4422

permit icmp any any echo-reply

deny icmp any any

deny tcp any any

ip access-list extended FIREWALL_OUT

permit ip any any

deny tcp any eq domain any

permit icmp any any

ip access-list extended LAN

permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255

ip access-list extended SSH_ACL

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 22 log-input

permit tcp 192.168.1.0 0.0.0.255 any eq 22 log-input

deny tcp any any log-input

ip access-list extended WAN

permit ip 192.168.1.0 0.0.0.255 any

!

logging trap debugging

logging <server_log>

!

!

!

!

!

snmp-server community <zabbix_pass> RO SNMP_ACL

snmp-server host <server_zabbix> <zabbix_pass>

!

control-plane

!

privilege exec level 0 ssh

!

line con 0

line aux 0

line vty 0 4

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

transport output telnet udptn ssh

line vty 5 50

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

!

ntp access-group serve-only NTP_SERVERS

ntp update-calendar

ntp server 93.180.6.3

ntp server 95.140.150.140

ntp server 80.240.109.22 prefer

!

end

velizar ()
Ответ на: комментарий от velizar

Обращу еще ваше внимание на то что конфиг выше уже с НАТом на порт мне необходимый, тоесть когда я пытался тунель прокинуть строки

ip nat inside source static tcp 192.168.1.15 80 interface Virtual-PPP1 4080

не было, как и строки в ACL

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 4080

velizar ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.