PPTP von Clients über Cisco 871 funzt net

[Whistleblower 45]

Hi,

 

Der Aufbau ein PPTP-Session von Clients die hinter unserem Cisco 871 hängen, funzt leider net... Bei der PIX gibts ja den Befehl "fixup protocol pptp 1723", gibt's da auch ähnliches für die 800er Router?

Der Abbruch erfolgt immer bei "Benutzername und Kennwort werden verifiziert", wenn ich vom Client direkt (z.B. über nen ISDN-Zugang) mich einwähle, geht der Tunnel einwandfrei.

Eine NAT-Regel würde mich auch nicht weiterbringen, weil PPTP von mehreren Clients gehen sollte... :-(

[Wordo 11]

Wieso hilft da kein NAT? Haben die Clients oeffentliche IPs? Vielleicht GRE uebersehn?

[mturba 10]

Hast du auf dem 871 ein Image mit Firewall-Featureset? Dann könntest du das z.B. so lösen:

 

 
!
ip inspect name permit_pptp pptp
!
int dialer0
   ip inspect permit_pptp out
!

[Whistleblower 45]

Wieso hilft da kein NAT? Haben die Clients oeffentliche IPs? Vielleicht GRE uebersehn?

Hm, einen statischen NAT-Eintrag mache ich doch i.d.R. nur auf einen Host im Netz, also z.B. Port 80 für einen Webserver, der öffentlich erreichbar sein soll...?

Hatte bisher auch angenommen, dass Port 1723 für PPTP genutzt wird. Jetzt habe ich eben mal am Client ein Trace gezogen und festgestellt, dass dynamisch Ports genutzt werden, eben z.B. der Port 1942.

Und ich sehe auch, dass der Client ein "Configuration Request" über PPP LC / GRE schickt, und hierauf keine Antwort erhält... Also liegts evtl. doch am GRE.

Aber wie lasse ich GRE jetzt durch?

[Whistleblower 45]

Okay, habs gefunden!

"permit gre any any" fehlte in der ACL für VLAN-Interface! Danke für den Hinweis!

[Wordo 11]

Naja, mit ner extended ACL und statt "ip" machst du "gre"

 

access-list 100 permit gre any any

[Whistleblower 45]

Wie gesagt, funzt jetzt wieder wunderbar, muss den Eintrag irgendwann mal rausgeschmissen haben...