Тунель SSH через роутер Cisco 181x

0

1

Не могу никак настроить сабж. Структура сетки: роутер Cisco служит шлюзом в сети, подрубает к интернету и раздает его с НАТом в сеть 192.168.1.x. Мне нужно прокинуть ssh тунель к хосту внутри сети (например 192.168.1.15:80) через Cisco роутер. Подрубаюсь с внешнего мира к роутеру так: ssh -L 4080:192.168.1.15:80 <user_на_роутере>@<внешний_ip_роутера>. Подключается, ввожу пасс, пытаюсь со своего хоста (с которого выполнял команду) зайти на http://localhost:4080 а там ничего. В консоли с подключением к роутеру при каждой попытке подключиться к http://localhost:4080 выдает строки:

router#channel 3: open failed: resource shortage: router#

и ноль реакции. Аналогично строка w3m -dump http://localhost:4080 ничего не выводит. Конфиг (его часть) openssh-server на машине 192.168.1.15:

AllowTcpForwarding yes

X11Forwarding yes

X11DisplayOffset 10

PrintMotd no

PrintLastLog yes

TCPKeepAlive yes

Конфиг на циске (часть которая хоть как то относится к портам и ACL):

interface Virtual-PPP1 интерфейс к провайдеру

ip address negotiated

ip access-group FIREWALL_IN in

ip access-group FIREWALL_OUT out

ip mtu 1492

ip nat outside

ip inspect INTERNET out

ip virtual-reassembly

ip tcp adjust-mss 1452

load-interval 30

no peer neighbor-route

no cdp enable

ppp authentication chap ms-chap ms-chap-v2 callin

ppp chap hostname что-то

ppp chap password 7 что-то

pseudowire что-то 10 pw-class что-то

ip inspect tcp reassembly queue length 128

ip inspect tcp reassembly timeout 1000

ip inspect name INTERNET http timeout 3600

ip inspect name INTERNET tcp timeout 3600

ip inspect name INTERNET udp timeout 15

ip inspect name INTERNET ftp timeout 3600

ip inspect name INTERNET icmp

ip inspect name INTERNET https timeout 3600

ip inspect name INTERNET ssh

ip access-list extended FIREWALL_IN

permit tcp any any eq 22

permit tcp any any дописал уже от отчаяния

permit ipinip any any log-input дописал уже от отчаяния

ip access-list extended FIREWALL_OUT

permit ip any any

deny tcp any eq domain any

permit icmp any any

ip access-list extended SSH_ACL

permit tcp any any eq 22 log-input

permit tcp 192.168.1.0 0.0.0.255 any eq 22 log-input

deny tcp any any log-input

line vty 0 4

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

По обычному ssh я конечно подлкючаюсь нормально из внешки и из самой сети. Что говорит гугл по этому поводу, кидает на похожую проблему на opennet где люди сказали что cisco не поддерживает такое, во что мне не сильно верится. Помогите побороть проблему.

Заранее спасибо!

Ссылка

←	Ищется программа для анализа трафика

специфическая настройка squid

→

Трафик из внешки натится на directly connected interface или нет? LAN в сиськи (или подинтерфейс) должен быть в одной сетке (по адресации), что и комп, к которому подключаешься. 1) выложи часть конфига NAT 2) запусти сниффер на другом компе, и посмотри доходит ли трафик хотя бы в одну сторону, (несмотря на то что ты даже вводил пароль, то есть соединение установилось, а для этого трафик ходит в оба конца) 3) описанные порты соответствуют действительности? если нет, то советую проверить бан со стороны провайдера по портам.

andrew667 ★★★★★
(30.03.12 23:47:17 MSK)

Ответ на: комментарий от andrew667 30.03.12 23:47:17 MSK

Извиняюсь что пропал. По сабжу, все пашет как надо кроме тунелей ssh, скину весь конфиг чтобы вопросов не было больше. Комп в том же влане, он там один - первый. Запускаю tcpdump -i eth0 port 80 на машинке к которой пытаюсь прокинуть тунель, там все молчит. Да описаные порты соответствуют действительности. Ограничения по портам у провайдера нет точно (во всяком случае по этим) так как сейчас реализовал задачу прокидыванием порта через NAT + ACL и все успешно работает. Но хотелось бы всетаки разобраться в чем дело. Спасибо!

Конфиг:

router#sh run

Building configuration...

Current configuration : 6512 bytes

version 12.4

no service pad

service tcp-keepalives-in

service tcp-keepalives-out

service timestamps debug datetime localtime

service timestamps log datetime localtime

service password-encryption

service internal

service compress-config

hostname router

boot-start-marker

boot system flash c181x-advipservicesk9-mz.124-24.T7.bin

boot-end-marker

logging message-counter syslog

logging userinfo

logging buffered 32000

logging rate-limit all 10 except errors

no logging console

enable secret 5 <secret_pass>

aaa new-model

aaa authentication login default local

aaa authentication ppp default local

aaa authorization exec default local

aaa authorization network default none

aaa session-id common

clock timezone MSK 4

dot11 syslog

no ip source-route

no ip dhcp use vrf connected

ip dhcp excluded-address 192.168.1.1 192.168.1.99

ip dhcp pool LocalDHCP

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

domain-name local

dns-server 192.168.1.1 <dns1> <dns2>

lease infinite

ip cef

no ip bootp server

ip domain retry 5

ip domain timeout 1

ip domain name local

ip inspect tcp reassembly queue length 128

ip inspect tcp reassembly timeout 1000

ip inspect name INTERNET http timeout 3600

ip inspect name INTERNET tcp timeout 3600

ip inspect name INTERNET udp timeout 15

ip inspect name INTERNET ftp timeout 3600

ip inspect name INTERNET icmp

ip inspect name INTERNET https timeout 3600

ip ddns update method No-Ip_dyndns

HTTP

add <update_ddns_name>

no ipv6 cef

l2tp-class <name_l2tp_class>

multilink bundle-name authenticated

file verify auto

username velp privilege 15 secret 5 <secret_pass>

archive

log config

logging enable

notify syslog contenttype plaintext

hidekeys

ip ssh version 2

pseudowire-class <name_class>

encapsulation l2tpv2

protocol l2tpv2 <name_l2tp_class>

ip local interface FastEthernet0

interface BRI0

no ip address

encapsulation hdlc

shutdown

interface FastEthernet0

ip dhcp client update dns

ip address dhcp

ip nat outside

ip virtual-reassembly

ip tcp adjust-mss 1452

logging event subif-link-status

load-interval 30

duplex auto

speed auto

interface FastEthernet1

no ip address

shutdown

duplex auto

speed auto

interface FastEthernet2

interface FastEthernet3

interface FastEthernet4

interface FastEthernet5

interface FastEthernet6

interface FastEthernet7

interface FastEthernet8 !

interface FastEthernet9

interface Virtual-PPP1

description VPN_Beeline

ip ddns update No-Ip_dyndns

ip address negotiated

ip access-group FIREWALL_IN in

ip access-group FIREWALL_OUT out

ip mtu 1492

ip nat outside

ip inspect INTERNET out

ip virtual-reassembly max-reassemblies 256

ip tcp adjust-mss 1452

load-interval 30

no peer neighbor-route

no cdp enable

ppp authentication chap ms-chap ms-chap-v2 callin

ppp chap hostname <user>

ppp chap password 7 <password>

pseudowire <l2tp_server> 10 pw-class BeelineInternet

interface Vlan1

ip address 192.168.1.1 255.255.255.0

no ip redirects

no ip unreachables

no ip proxy-arp

ip nat inside

ip virtual-reassembly

ip tcp adjust-mss 1400

load-interval 30

ip forward-protocol nd

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 permanent

ip route <l2tp_server> 255.255.255.0 dhcp

ip route <dns2> 255.255.255.0 dhcp

ip route <dns1> 255.255.255.0 dhcp

ip route 10.0.0.0 255.0.0.0 dhcp

no ip http server

no ip http secure-server

ip dns server

ip nat inside source list LAN interface FastEthernet0 overload

ip nat inside source list WAN interface Virtual-PPP1 overload

ip nat inside source static tcp <rdp_host> 3389 interface Virtual-PPP1 3389

ip nat inside source static tcp 192.168.1.15 80 interface Virtual-PPP1 4080

ip nat inside source static tcp <host> 22 interface Virtual-PPP1 4422

ip access-list standard NTP_SERVERS

permit 95.140.150.140

permit 80.240.109.22

permit 93.180.6.3

deny any

ip access-list standard SNMP_ACL

permit <server_snmp>

deny any

ip access-list extended FIREWALL_IN

permit tcp any any eq 22

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 3389

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 4080

permit udp any any eq ntp log-input

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 4422

permit icmp any any echo-reply

deny icmp any any

deny tcp any any

ip access-list extended FIREWALL_OUT

permit ip any any

deny tcp any eq domain any

permit icmp any any

ip access-list extended LAN

permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255

ip access-list extended SSH_ACL

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 22 log-input

permit tcp 192.168.1.0 0.0.0.255 any eq 22 log-input

deny tcp any any log-input

ip access-list extended WAN

permit ip 192.168.1.0 0.0.0.255 any

logging trap debugging

logging <server_log>

snmp-server community <zabbix_pass> RO SNMP_ACL

snmp-server host <server_zabbix> <zabbix_pass>

control-plane

privilege exec level 0 ssh

line con 0

line aux 0

line vty 0 4

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

transport output telnet udptn ssh

line vty 5 50

access-class SSH_ACL in

exec-timeout 20 0

transport preferred ssh

transport input ssh

ntp access-group serve-only NTP_SERVERS

ntp update-calendar

ntp server 93.180.6.3

ntp server 95.140.150.140

ntp server 80.240.109.22 prefer

end

velizar
(05.04.12 17:07:03 MSK) автор топика

Ответ на: комментарий от velizar 05.04.12 17:07:03 MSK

Обращу еще ваше внимание на то что конфиг выше уже с НАТом на порт мне необходимый, тоесть когда я пытался тунель прокинуть строки

ip nat inside source static tcp 192.168.1.15 80 interface Virtual-PPP1 4080

не было, как и строки в ACL

permit tcp host <мой хост с которого подключаюсь по внешке> any eq 4080

velizar
(05.04.12 17:13:48 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Ищется программа для анализа трафика

Admin

специфическая настройка squid

→

Похожие темы