Cisco 1900 Routers’Technical Cases

How to Open Port 873 on Cisco 1921 Router?

From Technical User:
Caskibum:
I have a Cisco 1921 and need to open ports 22 (SSH) and 873 (rsync) to run an rsync server on my network and the rest of the network needs standard “internet” access.  I am fairly new to Cisco ACLs and so I expect I’m doing something stupid but not sure what. When I add the ip access-group XXX in / out to the gig0/0 interface, I lose all www functionality at that point. Here is my current (working) config with the ACLs listed (101 and 102) but not enabled on the gig0/0 interface. I have tried the “established” statement at the start and end of the 101 list, no difference. Thanks for any help!
Router#show run
Building configuration…
Current configuration : 2675 bytes
!
! Last configuration change at 15:03:45 UTC Sun Dec 18 2011 by
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$Sx2k$wiHT8Af585IB/HsSZkwC61
enable password 7 073E325F19190C1D47
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 10.1.0.1 10.1.0.149
ip dhcp excluded-address 10.1.0.200 10.1.0.254
!
ip dhcp pool net_dhcp
import all
network 10.1.0.0 255.255.255.0
default-router 10.1.0.1
lease 0 0 5
!
!
no ip domain lookup
ip domain name treeskier.ca
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1921/K9 sn FGL15092836
!
!
username blah password blahblah
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
description Internet
ip dhcp client update dns
ip address dhcp
ip nat outside
! ip access-group 101 in
! ip access-group 102 out
! once I turn these on, it all dies.
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/1
description internal
ip address 10.1.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no mop enabled
!
ip forward-protocol nd
!
ip http server
ip http authentication local
no ip http secure-server
!
ip nat inside source list 1 interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.1.0.102 873 interface GigabitEthernet0/0 873
ip nat inside source static tcp 10.1.0.102 22 interface GigabitEthernet0/0 22
!
access-list 1 permit 10.1.0.0 0.0.0.255
access-list 1 remark INSIDE_IF=gig0/1
access-list 101 permit tcp any 10.1.0.0 0.0.0.255 established
access-list 101 permit tcp any host 10.1.0.102 eq 22
access-list 101 permit udp any host 10.1.0.102 eq 22
access-list 101 permit tcp any host 10.1.0.102 eq 873
access-list 101 permit udp any host 10.1.0.102 eq 873
access-list 102 permit tcp 10.1.0.0 0.0.0.255 any
access-list 102 permit udp 10.1.0.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
!
control-plane
!
banner login ^C**************************^C
!
CON and VTY setup
!
scheduler allocate 20000 1000
end
A bit of really basic troubleshooting:
Router#sh access-lists
Standard IP access list 1
10 permit 10.1.0.0, wildcard bits 0.0.0.255 (9854736 matches)
Extended IP access list 101
10 permit tcp any 10.1.0.0 0.0.0.255 established
20 permit tcp any host 10.1.0.102 eq 22
30 permit udp any host 10.1.0.102 eq 22
40 permit tcp any host 10.1.0.102 eq 873
50 permit udp any host 10.1.0.102 eq 873
Extended IP access list 102
10 permit tcp 10.1.0.0 0.0.0.255 any
20 permit udp 10.1.0.0 0.0.0.255 any

Router#sh ip nat translations
Pro Inside global         Inside local          Outside local         Outside global
tcp 192.168.0.10:22       10.1.0.102:22         —                   —
tcp 192.168.0.10:873      10.1.0.102:873        —                   —
tcp 192.168.0.10:54693    10.1.0.150:54693      208.88.180.96:80      208.88.180.96:80
tcp 192.168.0.10:54695    10.1.0.150:54695      208.88.180.96:80      208.88.180.96:80
tcp 192.168.0.10:54696    10.1.0.150:54696      208.88.180.106:5222   208.88.180.106:5222
tcp 192.168.0.10:54699    10.1.0.150:54699      208.88.181.46:1935    208.88.181.46:1935
tcp 192.168.0.10:54700    10.1.0.150:54700      208.88.180.96:80      208.88.180.96:80
… (more dynamic NAT at work)

Reply to Caskibum from Imbadatthis
You aren’t allowing DNS in. A nice to know:

http://www.cisco.com/en/US/tech/tk648/tk361/
technologies_configuration_example09186a0080100548.shtml#allowdns

After Imbadatthis ‘s Reply
Caskibum solved problems like this:

Thanks for the response. I actually sorted it out last night, my ”new” cable modem was blocking the port
forwarding before it got to the router.  So once I set up the NAT port forwarding on the cable modem,
all good now.
Just FYI, I’ve ended up with a much simpler ACL and NAT setup:
!
ip nat inside source list nat-acl interface GigabitEthernet0/0 overload
ip nat inside source static tcp 10.1.0.101 873 interface GigabitEthernet0/0 873
ip nat inside source static tcp 10.1.0.101 22 interface GigabitEthernet0/0 22
!
ip access-list extended nat-acl
permit ip 10.1.0.0 0.0.0.255 any
permit tcp any host 10.1.0.101 eq 22
permit tcp any host 10.1.0.101 eq 873
!
!
Best Regards
More discussion between these two buddies to talk about Opening port 873 on Cisco 1921
Imbadatthis: So you’ve removed both acl 101 and 102?
Caskibum: Yep, the only ACL is the named extended list, which is applied on the outside interface in the
overload command. I could have probably left them in place, I found this ”alternate” solution with the named extended list
as it is now, and then after that didn’t work either I went to the cable modem and found the source of the problem. I
expect the 101 / 102 acls are fine if I were to use them. Then the two static NAT commands to handle the traffic direction.
Seems to be working. I’m no security expert so if this leaves some gaping hole please let me know and I’ll rework it. Cheers!

How to Configure Metro E in 1941 Router?

Cisco 1900 Series Integrated Services Routers offer embedded hardware encryption acceleration, optional firewall, intrusion prevention, and application services. In addition, the platforms support the industries widest range of wired and wireless connectivity options such as T1/E1, xDSL, 3G, and GE.

Now, let’s check a typical problem that Cisco 1941 & Cisco 1900 series users may have.
Question from Keith Liew:
I’m actually no idea on how to configure Metro E in 1941 router. May anyone of you guide me as I can’t find any from internet?
Below are my current network connections:
Branch A LAN – Router A – Router B – Branch B LAN 

Answer: You will need to find out if the service provider is transporting your frames at layer 2, or if you must point to
their router.  You will also want to find out if they have hard coded speed an duplex.  You will definitely want that to
match.  Once you find out the speed and duplex, the configuration should be set appropriately for that.  Then if the
service provider is doing a layer two solution for you, the configuration would be exactly the same as if you hooked
the routers up back to back in a lab.  If they are doing a layer 3 solution, you will need IP addresses that correspond
with theirs’ and point your routers to their IP addresses.  HTH.

Q: I asked the questions below and ISP replied. Wonder if my configuration of my router correct? Please advise.

1) Service provider is transporting the frames at layer 2? Or Layer 3? – layer 2
2) Must we configure to point to your router? – at your router, just set as access port and configure with WAN IP address
3) Hard coded speed and duplex? – Nilai site with auto-nego, no hard coded;
Shah Alam site is hard coded with full duplex & speed 100

If are doing a layer 3 solution, please provide IP addresses that correspond with your router.– N/A
SaToNilai#show startup-config
Using 1197 out of 262136 bytes
!
! Last configuration change at 09:21:06 UTC Thu Jun 9 2011
!
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SaToNilai
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password
!
no aaa new-model
!
no ipv6 cef
ip source-route
no ip routing
no ip cef
!
!
!
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1941/K9 sn
!
!
!
!
!
!
!
!
interface GigabitEthernet0/0
description LAN Connection
ip address 10.110.125.3 255.255.252.0
no ip route-cache
duplex auto
speed auto
no mop enabled
!
interface GigabitEthernet0/1
description MetroE Connection
ip address 192.168.168.1 255.255.255.252
no ip route-cache
duplex full
speed 100
!
ip default-gateway 10.110.125.1
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip route 10.111.44.0 255.255.255.0 192.168.168.2
ip route 172.1.48.0 255.255.252.0 192.168.168.2
!
!
!
snmp-server community Sa RO
!
control-plane
!
!
line con 0
logging synchronous
line aux 0
line vty 0 4
password
logging synchronous
login
!
scheduler allocate 20000 1000
end

SaToNilai#

Reply1: From ”SaToNilai”, can you ping 192.168.168.2.  If not, confirm that 192.168.168.2 is on your Nilai router
and that it is ”UP/UP”.  Keep in mind that this router will only deliver packets to 172.1.48.0-172.1.51.255 and 10.111.44.x based
on the static routes.

Reply2: Are you running Metro-E yourself? Or through an SP?
If you are going through an SP, then there’s really nothing special for you to do.  The CE side of things is a generic Ethernet
configuration.  You’ll need to match whatever’s on the other side.  So both sides (CE) would be a single IP on the 192.168.168.
x/30 network (.1 on one branch CE, .2 on the other) and everything else from your SP should be transparent.

Reply from Keith to Re2: The CE side of things is a generic Ethernet configuration.  You’ll need to match
whatever’s on the other side.  So both sides (CE) would be a single IP on the 192.168.168.x/30 network (.1 on one branch CE,
.2 on the other) and everything else from your SP should be transparent.

You’ll need to match whatever’s on the other side - is this talking about the SP side?
Example: Site A SP hard coded Full duplex and 100. Site B SP has no hard coded. So, i’m configuring site a router to have full
duplex and 100 and Site B with duplex auto and speed auto. Am I right?

…More to be continued…your opinions? …

Click to Chat