The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 2800 в качестве pptp VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Cisco 2800 в качестве pptp VPN"  +/
Сообщение от hvv (ok) on 27-Апр-09, 15:04 
Помогите плиз... Никак не могу настроить VPN. Задача стоит следующая.

Нужно на Cisco 2800 настроить pptp VPN таким образом чтобы он изнутри пускал наружу.
То-есть пользователь из локальной сети логиниться на циску получает pptp-коннект с маршрутизируемым адресом и таким образом выходит в интернет.

Для начала пользователи хронятся локально на самой циске.
Пул адресов тоже один. Я взял для тестов локальную сеть 10.0.16.0/24

Проблема в следующем:
Если я пингую клиенский хост который получил адрес скажем 10.0.16.15 то пинги проходят.
А если я хочу пустить пинг с 10.0.16.15 куда-либо то пакеты долетают до шлюза 10.0.16.2

version 12.3                      
service timestamps debug datetime msec
service timestamps log datetime msec  
no service password-encryption        
!                                    
hostname VPN                          
!                                    
boot-start-marker                    
boot-end-marker                      
!                                    
enable secret 5 $1$C.B/$mS
!                                            
aaa new-model                                
!                                            
!                                            
aaa authentication ppp default local          
!                                            
aaa session-id common                        
!                                            
resource policy                              
!                                            
ip subnet-zero                                
!                                            
!                                            
ip cef                                        
no ip dhcp use vrf connected                  
!                                            
!                                            
ip domain name xxxx.xx                        
ip name-server xxx.xxx.xxx.xxx                
ip ssh version 2                              
no ip ips deny-action ips-interface          
vpdn enable                                  
vpdn ip udp ignore checksum                  
!                                            
vpdn-group 1                                  
! Default PPTP VPDN group                    
accept-dialin                                
  protocol pptp                              
  virtual-template 1                          
local name VPN                          
!                                            
!                                            
no ftp-server write-enable                    
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
!                                            
username user secret 5 $1$TPdO$1
!                                                  
!                                                  
!                                                  
!
!
!
interface GigabitEthernet0/0
description LAN
ip address xxx.xxx.xxx.xxx 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
description WAN
ip address 10.0.16.2 255.255.255.0
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1
ip mroute-cache
peer default ip address pool VPN-IN
!
ip local pool VPN 10.0.16.10 10.0.16.20
ip default-gateway xxx.xxx.xxx.xxx
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
!
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
logging synchronous
history size 256
transport preferred none
transport input ssh
line vty 5 15
logging synchronous
history size 256
transport preferred none
transport input ssh
!
scheduler allocate 20000 1000
!
end

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от AlexDv (??) on 27-Апр-09, 16:24 
>[оверквотинг удален]
> shutdown
> duplex auto
> speed auto
>!
>interface Virtual-Template1
> ip unnumbered GigabitEthernet0/1
> ip mroute-cache
> peer default ip address pool VPN-IN
>!
>ip local pool VPN 10.0.16.10 10.0.16.20

Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от denp email on 27-Апр-09, 18:48 
>[оверквотинг удален]
>> speed auto
>>!
>>interface Virtual-Template1
>> ip unnumbered GigabitEthernet0/1
>> ip mroute-cache
>> peer default ip address pool VPN-IN
>>!
>>ip local pool VPN 10.0.16.10 10.0.16.20
>
>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.

interface Virtual-Template1
ip unnumbered GigabitEthernet0/1

И чего интерфейс GigabitEthernet0/1 в шатдауне?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от hvv (ok) on 27-Апр-09, 22:22 
>[оверквотинг удален]
>>> peer default ip address pool VPN-IN
>>>!
>>>ip local pool VPN 10.0.16.10 10.0.16.20
>>
>>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.
>
>interface Virtual-Template1
>ip unnumbered GigabitEthernet0/1
>
>И чего интерфейс GigabitEthernet0/1 в шатдауне?

адреса серые взял просто для тестирования. как все отлажу подсуну пул с реальными.

интерфейс в дауне - это не верно... исправлю проверю как работать будет. о результатах отпишу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от hvv (ok) on 04-Май-09, 07:40 
>[оверквотинг удален]
>>interface Virtual-Template1
>>ip unnumbered GigabitEthernet0/1
>>
>>И чего интерфейс GigabitEthernet0/1 в шатдауне?
>
>адреса серые взял просто для тестирования. как все отлажу подсуну пул с
>реальными.
>
>интерфейс в дауне - это не верно... исправлю проверю как работать будет.
>о результатах отпишу.

все заработало. и даже внешние ip повесил.
единственное чего так и не удалось запинать - так это что бы разным польлзователям разные пулы выдовались.


кто-нибудь знает как это нарулить?

я делал так:

aaa new-model
!
!
aaa authentication ppp default local
!
aaa attribute list poolLAN
attribute type addr-pool "VPN-IN" service ppp protocol ip

username vvv secret 5 $1$TP
username user secret 5 $1$JC1
username user aaa attribute list poolLAN

ip local pool VPN-IN yyy.yyy.yyy.10 yyy.yyy.yyy.20
ip local pool TEST xxx.xxx.xxx.165 xxx.xxx.xxx.185


как видно из конфига по задумке юсер vvv должне ходить через пул TEST (он нарулен как дефолтный) а юсер user должен ходить через VPN-IN
однако user когда подключает vpn получает адрес из TEST

где чего не докрутил?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от Николай (??) on 22-Май-09, 15:33 

>все заработало. и даже внешние ip повесил.
>единственное чего так и не удалось запинать - так это что бы
>разным польлзователям разные пулы выдовались.

Для этого поднять какой нить радиус сервер надо - штатными средствами циски никак.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от wwc on 20-Май-09, 16:03 
Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный Вашему конфиг с доступом из интернета по VPN  к внутренней сети компании.

Заранее спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от klin email(ok) on 22-Май-09, 14:28 
>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный
>Вашему конфиг с доступом из интернета по VPN  к внутренней
>сети компании.
>
>Заранее спасибо.

То же самое, только

interface Virtual-Template1

ip unnumbered " LAN интерфейс "

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от Николай (??) on 22-Май-09, 18:35 
>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный
>Вашему конфиг с доступом из интернета по VPN  к внутренней
>сети компании.
>
>Заранее спасибо.

Реализация для PPTP & L2TP

aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
!
ip name-server СВОЙ

vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
vpdn-group 2
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
ip pmtu
ip mtu adjust

async-bootp dns-server СВОЙ
async-bootp nbns-server СВОЙ

username СВОИ

crypto isakmp policy 100
hash md5
authentication pre-share

crypto isakmp key СВОЙ address 0.0.0.0 0.0.0.0

crypto ipsec transform-set L2TP esp-des esp-md5-hmac
mode transport

crypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set L2TP


interface Virtual-Template1
description For people who is connected on WiFi link
ip unnumbered СВОЙ
ip policy route-map TEST
ip mroute-cache
peer default ip address pool DIAL-WIFI
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface Virtual-Template2
ip unnumbered СВОЙ
ip nat inside
ip virtual-reassembly
ip mroute-cache
autodetect encapsulation ppp
peer default ip address pool DIAL-WIFI
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2

interface VlanХХХ
интерфейс что смотрит в ИНЕТ
ip nat outside
ip virtual-reassembly
ntp disable
crypto map L2TP
crypto ipsec df-bit clear

ip local pool DIAL-WIFI 10.0.14.1 10.0.14.10

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от wwc (ok) on 25-Май-09, 11:51 
Огромное спасибо....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Cisco 2800 в качестве pptp VPN"  +/
Сообщение от dfx on 23-Мрт-10, 21:20 
А не разъяснить ли кто следующее: насколько я понимаю, при поднятии vpn сервиса циска будет "слушать" подключения на всех своих интерфейсах? Если это так, то как заставить слушать только на конкретном интерфейсе? Или надо просто приклеить ко всем остальным ифейсам входящие acl с запретом tcp/1723 и gre?

Заранее спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру