Forum
Merhaba ;
Farklı bir ip blogundaki ,cisco 878 router arkasındaki Win Xp makinaya remote olarak ulaşmak istiyorum.Bu işlemi bahsi geçen ip bloguna vpn ile baglanıp yapmak istiyorum ama öncelıkle o ip blogundaki cisco 878 router üzerinde rdp ye izin vermem gerekiyor.Bunun için hangi komutları kullanmalıyım?
benim ip blogum 10.xx.xx.xx baglanmak istediğim makına ip 172.xxx.xx.xx .
ip nat inside source static tcp in.in.in.in 3389 ex.ex.ex.ex 3389
ip nat inside source static udp in.in.in.in 3389 ex.ex.ex.ex 3389
in. diye nitelendirdigim XP makinenizin IP addresi
ex. diye nitelendirdigim ise Routerin WAN tarafi
Karsi taraftaki router de her hangi bir access list var mi kontrol etmekde fayda var , eger yok ise
remote desktop a rotuer in WAN IP sini yazdiginiz zaman talep dogrudan XP makineye gidecekdir.
karşı tarafın (yani XP Makinanın) baglı oldugu router uzerınde access lıstler tanımlı ve sadece ssh portuna acık durumda.o access lıstler ıcerısınde remote baglandıgım blogun routerın dıs ıp sı ve karsı tarafın (xp makınanın bulundugu) dıs ıpsıne 3389 portundan ızın vermem mı gerekıcek?yoksa bunlara gerek olmadan dırek dedıgınız komutlarla ıslemı halledebılecekmıyım?
bahsettıgım ızın satırı;
#permit tcp host 88.xx.xx.xx(benım bulundugum routerın dıs ıpsı) host 88.xx.xx.xx(xp makınanın bulundugu routerın dıs ıpsı) eq 3389
bumudur?
karşı tarafın (yani XP Makinanın) baglı oldugu router uzerınde access lıstler tanımlı ve sadece ssh portuna acık durumda.o access lıstler ıcerısınde remote baglandıgım blogun routerın dıs ıp sı ve karsı tarafın (xp makınanın bulundugu) dıs ıpsıne 3389 portundan ızın vermem mı gerekıcek?yoksa bunlara gerek olmadan dırek dedıgınız komutlarla ıslemı halledebılecekmıyım?
bahsettıgım ızın satırı;
#permit tcp host 88.xx.xx.xx(benım bulundugum routerın dıs ıpsı) host 88.xx.xx.xx(xp makınanın bulundugu routerın dıs ıpsı) eq 3389
bumudur?
karşı tarafın (yani XP Makinanın) baglı oldugu router uzerınde access lıstler tanımlı ve sadece ssh portuna acık durumda.o access lıstler ıcerısınde remote baglandıgım blogun routerın dıs ıp sı ve karsı tarafın (xp makınanın bulundugu) dıs ıpsıne 3389 portundan ızın vermem mı gerekıcek?yoksa bunlara gerek olmadan dırek dedıgınız komutlarla ıslemı halledebılecekmıyım?
bahsettıgım ızın satırı;
#permit tcp host 88.xx.xx.xx(benım bulundugum routerın dıs ıpsı) host 88.xx.xx.xx(xp makınanın bulundugu routerın dıs ıpsı) eq 3389
bumudur?
yukaridaki komut XP makinenizin oldugu tarafin public kismina kadar 3389 portuna izin verir , eger lokal IP addresleri icin de belli portlara kisitlama yoksa calisir , yok eger var ise networkdeki private kismi icin de bir rule tanimlamaniz gerekebilir
bu ıslemı denedıgımde de bana ızın vermedı.access lıstler altına bu tanımlamayı yaptıgımda yıne rdp portu uzerınde ulaşamadım.
pekı bu durumda ıp nat ıle baslayan komutu nasıl kullanmalıyım onu nerede tanımlamalıyım?
Wan interface'ine gelen rdp isteklerini iç networke yönlendireceksiniz yani PAT Konfigurasyonu yapacaksınız. Access-List mevcutta var ve gerekli izinler verilmişse ,Router global configuration modda aşağıdaki satırı yazın erişim sağlanacaktır.
ip nat inside source static tcp inside local 3389 inside global 3389
inside local:localdeki rdp sunucu ip adresi ( 172.xx.xx.xx )
inside global: Wan ip adresi
bu konfıgurasyonuda yaptım fakat yıne baglantı saglayamıyorum. konfıgurasyonum su sekılde;
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
ip nat source static tcp 172(ip adres) 3389 85(ip adres)
3389 extendable
ip access-list extended internet-in
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
permit
tcp host 212(ip adres) host 85(ip adres)eq 3389
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
ip access-list extended internet-out
permit ip host
85(ip adres) any
ip access-list extended local-in
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
permit tcp 172(ip adres) (subnet)255 eq 3389 172(ip adres) (subnet)255
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
ip access-list extended vpn-out
Normal
0
21
false
false
false
TR
X-NONE
X-NONE
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Table Normal";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin-top:0cm;
mso-para-margin-right:0cm;
mso-para-margin-bottom:10.0pt;
mso-para-margin-left:0cm;
line-height:115%;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"Times New Roman";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;}
permit tcp
172(ip adres) (subnet)255 eq 3389 172(ip adres) (subnet)255
seklınde access lıst ve nat confıgurasyonlarım var ama hala baglantı saglanamıyorum ..
show running-config çıktısını düzenli bir şekilde eklermisiniz. Yinede hatanızı görebiliyorum aslında. Access-listi ilgili interface ile ilişkilendirmemişsiniz.
yukarıdaki mesajı acıl yazdıgımdan duzgun atamamısım,access listlerim su sekılde;
ip access-list extended internet-in
permit tcp host 212.aa.aa.aa host 85(baglamak istedıgım routerın dıs bacagı) eq 3389
permit tcp 88.aa.aa.aa 0.0.0.7 host 85(baglamak istedıgım routerın dıs bacagı) eq 3389
ip access-list extended internet-out
permit ip host 85(baglamak istedıgım routerın dıs bacagı) any
ip access-list extended local-in
permit tcp 172(baglanmak istedıgım iç ip blogu) aa.aa.aa.255 eq 3389 172(vpn ile balandıgım genel ıp blogu) aa.aa.aa.255
ip access-list extended vpn-out
permit tcp 172(baglanmak istedıgım iç ip blogu) aa.aa.aa.255 eq 3389 172(vpn ile balandıgım genel ıp blogu) aa.aa.aa.255
-Globalde ekledıgım satır;
ip nat source static tcp 172(remote baglanmak istediğim ip adresi) 3389 85(baglamak istedıgım routerın dıs bacagı) 3389 extendable
kısacası access list ve nat conf bu sekılde.bır hata var ama hala goremedım?
Buna ek olarak bır sey daha sormak ıstıyorum.cısco routerım uzerınde belıerlı bır potrun acık olup olmadıgını kontrol edebılecegım bır komut varmıdır?
Merhaba,
telnet altında, yani line vty 0 4 altında uygulamamışsanız geçerli olmayacaktır, access-list ile aktif etmeniz gerekmektedir ve de bunu bir interface, telnet , console v.s altına uygulamanız gerekir. default olarak deny durumdadır.
saygılarımla,