Если вы потратили много времени в поисках причины, почему маршрутизатор cisco недоступен из сети Интернет при попытке входа на внешний адрес маршрутизатора по протоколам telnet либо ssh, возможно, эта заметка вам поможет.
Необходимые условия:
— с хоста клиента на внешний интерфейс маршрутизатора ICMP пакеты проходят:
C:\>ping 95.190.25.254
Обмен пакетами с 95.190.25.254 по 32 байт:
Ответ от 95.190.25.254: число байт=32 время=46мс TTL=246
Ответ от 95.190.25.254: число байт=32 время=46мс TTL=246
— с хоста клиента доступ по telnet на внешний интерфейс маршрутизатора не работает, при том, что ACL для доступа на line VTY настроен корректно и протокол разрешен:
C:\>telnet 95.190.25.254
Подключение к 95.190.25.254… Не удалось открыть подключение к этому узлу, на порт 23: Сбой подключения
— если между сетями организован VPN-туннель, доступ по telnet на серый адрес интерфейса VLAN1 маршрутизатора возможен
— на внешнем адресе маршрутизатора включен NAT:
ip nat inside source list 120 interface Dialer0 overload
— в ACL присутствует строка permit ip any any:
Extended IP access list 120
10 deny ip 172.16.0.0 0.0.255.255 192.168.12.0 0.0.0.255 (13 matches)
20 deny ip 172.16.0.0 0.0.255.255 192.168.42.0 0.0.0.255 (64 matches)
30 permit ip any any (23 matches)
— IOS версии 12.4(24)T5 и младше (указаны версии, на которых это все проверялось):
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(24)T5,
RELEASE SOFTWARE (fc3)
Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.4(24)T, R
ELEASE SOFTWARE (fc1)
-применение команды rotary не помогает
Собственно, интерфейс VLAN1:
interface Vlan1
ip address 172.16.15.1 255.255.255.0
ip nat inside
Лечится это довольно легко: необходимо уточнить ACL для NAT:
Extended IP access list 120
10 deny ip 172.16.0.0 0.0.255.255 192.168.12.0 0.0.0.255 (16 matches)
20 deny ip 172.16.0.0 0.0.255.255 192.168.42.0 0.0.0.255 (127 matches)
30 permit ip 172.16.15.0 0.0.0.255 any