Путем моих титанических усилий после окончания войны за чистоту софта (фирма работает полностью на винде(сервера в т.ч.) и я виндовый админ для тех кто не в курсе) выбил из начальства командировку на обучение и сертификацию по MCSA в итоге 17 вечером уезжаю в Алмату... вернусь только под новый год...
И на повестке дня висит небольшой вопрос... в общем с внешника все работает только криво работает VPN если кто с ним работал/настраивал может подскажет...
в общем мне больше помощь нужна по роутерам киско, т.к. я питаю естественное недоверие к файрволам винды, то основной так сказать файр у меня поднят на циске.. с портмаппингом и инспекцией пакетов...
в итоге имеем вот что... если отрубаю файр на циске то все прекрасно пашет...
врубаю файр на циске на аудентификации при подключении впн все заваливается... отвечает что "удаленный комп не отвечает и т.п."
на циске добавил правило:
access-list 100 permit tcp 82.200.208.0 0.0.0.255 host 212.154.240.74 eq 1723
ну пускать только с определенной подсети ВПН подключения...
смотрю мониторинг... не светит что что либо блокируется но адентификация все равно не проходит...
UDP открыт... только фильтруется на всякие нездоровые пакеты...
в общем вопрос: какие порты и протоколы использует VPN вернее как мне все это оформить на циске... ::idea
т.к. как что использует впн я знаю... :unsure:

Перенесено в тематический раздел.(c) akeeper.

GRE надо разрешить для создания туннелей

примерно так
access-list xxx permit gre host ip_host_1 host ip_host_2

какая циска и с каким иосом ?

короче, sh ver в студию ...

уже в общем решил проблему... подсказали по аське...
access-list 100 permit ip x.x.x.x y.y.y.y a.a.a.a b.b.b.b
где х.х.х.х подсеть с которой разрешен доступ к впн, y.y.y.y маска этой посети
a.a.a.a айпи сервера на котором впн висит, b.b.b.b маска подсети сервера...

уже в общем решил проблему... подсказали по аське...
access-list 100 permit ip x.x.x.x y.y.y.y a.a.a.a b.b.b.b
где х.х.х.х подсеть с которой разрешен доступ к впн, y.y.y.y маска этой посети
a.a.a.a айпи сервера на котором впн висит, b.b.b.b маска подсети сервера...

Это ты проблему не решил, а обошел ;)

Так ты просто дал полный доступ с той сети к сети с серваком. Это потенциальная дыра.

знаю... что для этой подсети доступ на все разрешен...
пока еще думаю над решением...
но мне с подсети х.х.х.х и нужен доступ... а какой айпи из этой подсети мне раздаст провайдер я не знаю... это диалапная подсеть...
а писать на каждый айпишник из этой подсети правило для тунеллирования меня не вставляет... да и как то не правильно это...

Да дыра не в том, что доступ со всей сети, а в том, что по всем портам без ограничений.

знаю... ну хочешь добавлю gt 1024 ?
будет уже не по всем портам...
лучше бы предложил как открыть на подсеть впн без создания правила на каждый айпи из подсети.. про то что дыра и в чем дыра я сам знаю... не вчера родился.. :alive:

Что значит -- хочешь/не хочешь?
Мне лично вообще пох что у тебя там где открыто. Я тебе просто на это указываю. Я бы все-таки попытался выяснить какие конкретно порты использует твоя конкретная реализация VPN (это обязательно должно быть в документации) и открыл бы только их.
А еще я бы открыл доступ не ко всей сети с vpn-концентратором, а к конкретной машине.

открыт доступ только для меня! т.е. другие учетки не пройдут авторизацию...
и именно к конкретной машине... VPN серверу... от него я уже шлюзуюсь на подсеть... а реализация стандартная... и порты стандартные... я даж радиус не настраивал... нафиг он нужон мне ? :) мне просто нужон доступ в любое время в мою подесть если что то случится...

открыт доступ только для меня! т.е. другие учетки не пройдут авторизацию...
и именно к конкретной машине... VPN серверу... от него я уже шлюзуюсь на подсеть... а реализация стандартная... и порты стандартные... я даж радиус не настраивал... нафиг он нужон мне ? :) мне просто нужон доступ в любое время в мою подесть если что то случится...

И до этого:


уже в общем решил проблему... подсказали по аське...

Код:
access-list 100 permit ip x.x.x.x y.y.y.y a.a.a.a b.b.b.b

где х.х.х.х подсеть с которой разрешен доступ к впн, y.y.y.y маска этой посети
a.a.a.a айпи сервера на котором впн висит, b.b.b.b маска подсети сервера...


Этот ACL разрешает доступ ко всей подсети a.a.a.a с маской b.b.b.b если только последнее b != 255

По ВСЕМ портам. В том числе 25,23,22,110,80,443,445,7001 и пр. независимо от того, как у тебя там настроены учетные записи на самом vpn-концентраторе и вне зависимости от методов авторизации. А это дыра, пусть даже и потенциальная.