---

Jeg har en Cisco 26xx der benyttes til Internet forbindelse. Jeg har åbent
på port 25 så min Exchange server kan køre SMTP server og modtage mail. Det
virker fint.

Nu ønsker jeg at kunne tilgå pcAnyWhere på serveren fra Internet. Jeg har
nogle problemer med at lave det, da jeg ikke rigtigt er dus med Cisco IOS i
26xx routeren.
Jeg ønsker kun at det er én specifik IP-adresse som skal have tilladelse til
at benytte pcAnyWhere.

pcAnyWhere benytter følgende porte:

5631/tcp
5632/udp

Havde det været en Cisco 677 router som også kører NAT/PAT havde jeg bare
skulle tilføje følgende kommandoer efterfulgt af write:

SET NAT ENTRY ADD x.x.x.x 5631 y.y.y.y 5631 tcp
SET NAT ENTRY ADD x.x.x.x 5632 y.y.y.y 5632 udp

hvor x.x.x.x er serverens interne IP-adresse hvorpå pcAnyWhere kører og
y.y.y.y er IP-adressen på routeren WAN-port (Offentlig IP-adresse).

og efterfølgende konfigurere disse filtre for kun at tillade adgang fra én
bestemt IP:

SET FILTER 4 ON ALLOW INCOMING WAN0-0 y.y.y.y 255.255.255.255 0.0.0.0
0.0.0.0 PROTOCOL TCP SRCPORT 1-65535 DESTPORT 5631-5631
SET FILTER 5 ON ALLOW INCOMING WAN0-0 y.y.y.y 255.255.255.255 0.0.0.0
0.0.0.0 PROTOCOL UDP SRCPORT 1-65535 DESTPORT 5632-5632
SET FILTER 6 ON DENY INCOMING WAN0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
PROTOCOL TCP SRCPORT 1-65535 DESTPORT 5631-5631
SET FILTER 7 ON DENY INCOMING WAN0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
PROTOCOL UDP SRCPORT 1-65535 DESTPORT 5632-5632

Hvor y.y.y.y er IP-adressen som tillades adgang.

Jeg ønsker kun at IP-adressen: A.B.C.D 255.255.255.255 må tilgå pcAnyWhere.

Er der nogen der kan hjælpe med hvilke kommandoer routeren skal have for at
det kan lade sig gøre ? Jeg har fået fortalt at der findes flere måder at
løse problemet på. Passer det ?

Routeren konfiguration ses nedenfor. De rigtige (offentlige) IP-adresser er
masket ud med adresser af typen:

x.y.c.142
x.y.å.166

IP-adressen: x.y.c.138 er den adresse som vises såfremt man surfer ind på
f.eks. http://www.myip.dk/ altså den routeren præsenterer.

Jeg har nettet x.y.c.138 til x.y.c.143 registreret hos RIPE.

Jens



Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname XXXXXXXX
!
enable password 7 xxqqwweerrttyyuu
!
username MESTER password 7 12ncncnbbof8092F
username DATA password 7 070cncncnc00C0D
!
!
!
!
memory-size iomem 15
clock timezone DNT 1
clock summer-time DST recurring 4 Sun Mar 2:00 4 Sun Oct 3:00
ip subnet-zero
ip inspect name VPN-fw cuseeme
ip inspect name VPN-fw http java-list 1
ip inspect name VPN-fw ftp
ip inspect name VPN-fw realaudio
ip inspect name VPN-fw smtp
ip inspect name VPN-fw udp
ip audit notify log
ip audit po max-events 100
isdn switch-type basic-net3
isdn voice-call-failure 0
isdn tei-negotiation first-call
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key tz9,ghhp-799wp7r/##! address 100.100.100.100
!
!
crypto ipsec transform-set trans1 esp-des esp-md5-hmac
!
!
crypto map vpn-map 6 ipsec-isakmp
set peer 100.100.100.100
set transform-set trans1
match address 150
!
!
!
!
!
!
interface Ethernet0/0
no ip address
no ip directed-broadcast
shutdown
no cdp enable
!
interface Serial0/0
ip address x.y.å.166 255.255.255.252
ip access-group 111 in
no ip directed-broadcast
ip nat outside
encapsulation ppp
no ip mroute-cache
load-interval 30
no cdp enable
crypto map vpn-map
!
interface TokenRing0/0
ip address 172.16.1.1 255.255.255.0
ip access-group 101 in
no ip directed-broadcast
ip nat inside
ip inspect VPN-fw in
ring-speed 16
no cdp enable
!
interface BRI0/0
description isdn nr 004500112233
ip address 172.16.0.1 255.255.255.0
no ip directed-broadcast
encapsulation ppp
dialer idle-timeout 60
dialer map ip 172.16.0.2 name MESTER 004600112233
dialer map ip 172.16.0.3 name DATA
dialer-group 1
isdn switch-type basic-net3
no cdp enable
ppp authentication chap callin
!
ip nat pool fuel-tech x.y.c.142 x.y.c.142 netmask 255.255.255.240
ip nat inside source list 100 pool MADSEN overload
ip nat inside source static 172.16.1.11 195.249.183.138
ip classless
ip route 0.0.0.0 0.0.0.0 x.y.å.165
ip route 172.16.192.0 255.255.240.0 Serial0/0
no ip http server
!
access-list 1 permit any
access-list 10 permit 172.16.0.0 0.0.15.255
access-list 10 permit 172.16.192.0 0.0.15.255
access-list 100 deny ip 172.16.0.0 0.0.15.255 172.16.192.0 0.0.15.255
access-list 100 permit ip 172.16.0.0 0.0.15.255 any
access-list 101 permit tcp any any
access-list 101 permit udp any any
access-list 101 permit icmp any any
access-list 101 deny ip any any log
access-list 111 permit esp host 100.100.100.100 host x.y.å.166
access-list 111 permit ahp host 100.100.100.100 host x.y.å.166
access-list 111 permit udp host 100.100.100.100 host x.y.å.166 eq isakmp
access-list 111 permit tcp any host x.y.c.138 eq smtp
access-list 111 deny ip 10.0.0.0 0.255.255.255 any
access-list 111 deny ip 192.168.0.0 0.0.255.255 any
access-list 111 permit ip 172.16.0.0 0.0.15.255 172.16.192.0 0.0.15.255
access-list 111 permit ip 172.16.192.0 0.0.15.255 172.16.0.0 0.0.15.255
access-list 111 deny ip 172.16.0.0 0.15.255.255 any
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any unreachable
access-list 111 deny ip any any log
access-list 150 permit ip 172.16.0.0 0.0.15.255 172.16.192.0 0.0.15.255
access-list 150 deny ip any any log
dialer-list 1 protocol ip permit
no cdp run
!
line con 0
transport input none
line aux 0
line vty 0 4
access-class 10 in
password 7 15D0D0D193E3DE92D
login
!
no scheduler allocate
end

---

Hejsa

Du skal tilføje en ip nat inside source static i din global conf, samt
tilføje de porte til ACL 111 (som er inbound på S0)
Mvh
Martin

PS din nat pool MADSEN er ikke med i din conf ?


"Jens Jönsson" <jjonsson@mailme.dk> wrote in message
news:yRJT6.9367$R84.1118173@news010.worldonline.dk...
> Jeg har en Cisco 26xx der benyttes til Internet forbindelse. Jeg har åbent
> på port 25 så min Exchange server kan køre SMTP server og modtage mail.
Det
> virker fint.
>
> Nu ønsker jeg at kunne tilgå pcAnyWhere på serveren fra Internet. Jeg har
> nogle problemer med at lave det, da jeg ikke rigtigt er dus med Cisco IOS
i
> 26xx routeren.
> Jeg ønsker kun at det er én specifik IP-adresse som skal have tilladelse
til
> at benytte pcAnyWhere.
>
> pcAnyWhere benytter følgende porte:
>
> 5631/tcp
> 5632/udp
>
> Havde det været en Cisco 677 router som også kører NAT/PAT havde jeg bare
> skulle tilføje følgende kommandoer efterfulgt af write:
>
> SET NAT ENTRY ADD x.x.x.x 5631 y.y.y.y 5631 tcp
> SET NAT ENTRY ADD x.x.x.x 5632 y.y.y.y 5632 udp
>
> hvor x.x.x.x er serverens interne IP-adresse hvorpå pcAnyWhere kører og
> y.y.y.y er IP-adressen på routeren WAN-port (Offentlig IP-adresse).
>
> og efterfølgende konfigurere disse filtre for kun at tillade adgang fra én
> bestemt IP:
>
> SET FILTER 4 ON ALLOW INCOMING WAN0-0 y.y.y.y 255.255.255.255 0.0.0.0
> 0.0.0.0 PROTOCOL TCP SRCPORT 1-65535 DESTPORT 5631-5631
> SET FILTER 5 ON ALLOW INCOMING WAN0-0 y.y.y.y 255.255.255.255 0.0.0.0
> 0.0.0.0 PROTOCOL UDP SRCPORT 1-65535 DESTPORT 5632-5632
> SET FILTER 6 ON DENY INCOMING WAN0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> PROTOCOL TCP SRCPORT 1-65535 DESTPORT 5631-5631
> SET FILTER 7 ON DENY INCOMING WAN0-0 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
> PROTOCOL UDP SRCPORT 1-65535 DESTPORT 5632-5632
>
> Hvor y.y.y.y er IP-adressen som tillades adgang.
>
> Jeg ønsker kun at IP-adressen: A.B.C.D 255.255.255.255 må tilgå
pcAnyWhere.
>
> Er der nogen der kan hjælpe med hvilke kommandoer routeren skal have for
at
> det kan lade sig gøre ? Jeg har fået fortalt at der findes flere måder at
> løse problemet på. Passer det ?
>
> Routeren konfiguration ses nedenfor. De rigtige (offentlige) IP-adresser
er
> masket ud med adresser af typen:
>
> x.y.c.142
> x.y.å.166
>
> IP-adressen: x.y.c.138 er den adresse som vises såfremt man surfer ind på
> f.eks. http://www.myip.dk/ altså den routeren præsenterer.
>
> Jeg har nettet x.y.c.138 til x.y.c.143 registreret hos RIPE.
>
> Jens
>
>
>
> Current configuration:
> !
> version 12.0
> service timestamps debug uptime
> service timestamps log uptime
> service password-encryption
> !
> hostname XXXXXXXX
> !
> enable password 7 xxqqwweerrttyyuu
> !
> username MESTER password 7 12ncncnbbof8092F
> username DATA password 7 070cncncnc00C0D
> !
> !
> !
> !
> memory-size iomem 15
> clock timezone DNT 1
> clock summer-time DST recurring 4 Sun Mar 2:00 4 Sun Oct 3:00
> ip subnet-zero
> ip inspect name VPN-fw cuseeme
> ip inspect name VPN-fw http java-list 1
> ip inspect name VPN-fw ftp
> ip inspect name VPN-fw realaudio
> ip inspect name VPN-fw smtp
> ip inspect name VPN-fw udp
> ip audit notify log
> ip audit po max-events 100
> isdn switch-type basic-net3
> isdn voice-call-failure 0
> isdn tei-negotiation first-call
> !
> !
> crypto isakmp policy 10
> hash md5
> authentication pre-share
> crypto isakmp key tz9,ghhp-799wp7r/##! address 100.100.100.100
> !
> !
> crypto ipsec transform-set trans1 esp-des esp-md5-hmac
> !
> !
> crypto map vpn-map 6 ipsec-isakmp
> set peer 100.100.100.100
> set transform-set trans1
> match address 150
> !
> !
> !
> !
> !
> !
> interface Ethernet0/0
> no ip address
> no ip directed-broadcast
> shutdown
> no cdp enable
> !
> interface Serial0/0
> ip address x.y.å.166 255.255.255.252
> ip access-group 111 in
> no ip directed-broadcast
> ip nat outside
> encapsulation ppp
> no ip mroute-cache
> load-interval 30
> no cdp enable
> crypto map vpn-map
> !
> interface TokenRing0/0
> ip address 172.16.1.1 255.255.255.0
> ip access-group 101 in
> no ip directed-broadcast
> ip nat inside
> ip inspect VPN-fw in
> ring-speed 16
> no cdp enable
> !
> interface BRI0/0
> description isdn nr 004500112233
> ip address 172.16.0.1 255.255.255.0
> no ip directed-broadcast
> encapsulation ppp
> dialer idle-timeout 60
> dialer map ip 172.16.0.2 name MESTER 004600112233
> dialer map ip 172.16.0.3 name DATA
> dialer-group 1
> isdn switch-type basic-net3
> no cdp enable
> ppp authentication chap callin
> !
> ip nat pool fuel-tech x.y.c.142 x.y.c.142 netmask 255.255.255.240
> ip nat inside source list 100 pool MADSEN overload
> ip nat inside source static 172.16.1.11 195.249.183.138
> ip classless
> ip route 0.0.0.0 0.0.0.0 x.y.å.165
> ip route 172.16.192.0 255.255.240.0 Serial0/0
> no ip http server
> !
> access-list 1 permit any
> access-list 10 permit 172.16.0.0 0.0.15.255
> access-list 10 permit 172.16.192.0 0.0.15.255
> access-list 100 deny ip 172.16.0.0 0.0.15.255 172.16.192.0 0.0.15.255
> access-list 100 permit ip 172.16.0.0 0.0.15.255 any
> access-list 101 permit tcp any any
> access-list 101 permit udp any any
> access-list 101 permit icmp any any
> access-list 101 deny ip any any log
> access-list 111 permit esp host 100.100.100.100 host x.y.å.166
> access-list 111 permit ahp host 100.100.100.100 host x.y.å.166
> access-list 111 permit udp host 100.100.100.100 host x.y.å.166 eq isakmp
> access-list 111 permit tcp any host x.y.c.138 eq smtp
> access-list 111 deny ip 10.0.0.0 0.255.255.255 any
> access-list 111 deny ip 192.168.0.0 0.0.255.255 any
> access-list 111 permit ip 172.16.0.0 0.0.15.255 172.16.192.0 0.0.15.255
> access-list 111 permit ip 172.16.192.0 0.0.15.255 172.16.0.0 0.0.15.255
> access-list 111 deny ip 172.16.0.0 0.15.255.255 any
> access-list 111 permit icmp any any echo-reply
> access-list 111 permit icmp any any time-exceeded
> access-list 111 permit icmp any any unreachable
> access-list 111 deny ip any any log
> access-list 150 permit ip 172.16.0.0 0.0.15.255 172.16.192.0 0.0.15.255
> access-list 150 deny ip any any log
> dialer-list 1 protocol ip permit
> no cdp run
> !
> line con 0
> transport input none
> line aux 0
> line vty 0 4
> access-class 10 in
> password 7 15D0D0D193E3DE92D
> login
> !
> no scheduler allocate
> end
>
>