Ребята, помогите новичку настроить 1841 в качестве сервера VPN, чтобы через него человек из инета (работает на winXP) смог бы заходить во внутреннюю сетку. Т.к. дело это для меня абсолютно новое, буду благодарен прежде всего за конкретные пошаговые инструкции или готовые конфиги, хотя и от ссылок на доки не откажусь. Особо сильно разбираться просто некогда - попал в ситуацию, когда надо начальству показать "знания" :) Желательно - до среды, 12.04.06
С нетерпением жду советов!
sh ver, sh run
>sh ver, sh run
Нет никакого run :)
sh ver - пожалуйста!
А железяка еще не используется - ибо не знаю, как :(
Помогите...Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(1a), REL
EASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2005 by Cisco Systems, Inc.
Compiled Fri 27-May-05 12:32 by hqluongROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
Kharkiv-1-BACKBONE uptime is 6 days, 21 hours, 47 minutes
System returned to ROM by reload at 07:53:17 UTC Mon Apr 3 2006
System image file is "flash:c1841-advsecurityk9-mz.124-1a.bin"
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.htmlIf you require further assistance please contact us by sending email to
export@cisco.com.Cisco 1841 (revision 5.0) with 233472K/28672K bytes of memory.
Processor board ID FCZ093510SE
2 FastEthernet interfaces
2 Serial(sync/async) interfaces
2 Low-speed serial(sync/async) interfaces
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity disabled.
191K bytes of NVRAM.
62720K bytes of ATA CompactFlash (Read/Write)Configuration register is 0x2102
>>sh ver, sh run
>Нет никакого run :)
>sh ver - пожалуйста!
>А железяка еще не используется - ибо не знаю, как :(
>Помогите...
>
>Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(1a), REL
>EASE SOFTWARE (fc2)
>Technical Support: http://www.cisco.com/techsupport
>Copyright (c) 1986-2005 by Cisco Systems, Inc.
>Compiled Fri 27-May-05 12:32 by hqluong
>
>ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1)
>
>Kharkiv-1-BACKBONE uptime is 6 days, 21 hours, 47 minutes
>System returned to ROM by reload at 07:53:17 UTC Mon Apr 3
>2006
>System image file is "flash:c1841-advsecurityk9-mz.124-1a.bin"
>
>
>This product contains cryptographic features and is subject to United
>States and local country laws governing import, export, transfer and
>use. Delivery of Cisco cryptographic products does not imply
>third-party authority to import, export, distribute or use encryption.
>Importers, exporters, distributors and users are responsible for
>compliance with U.S. and local country laws. By using this product you
>
>agree to comply with applicable laws and regulations. If you are unable
>
>to comply with U.S. and local laws, return this product immediately.
>
>A summary of U.S. laws governing Cisco cryptographic products may be found
>at:
>http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
>
>If you require further assistance please contact us by sending email to
>
>export@cisco.com.
>
>Cisco 1841 (revision 5.0) with 233472K/28672K bytes of memory.
>Processor board ID FCZ093510SE
>2 FastEthernet interfaces
>2 Serial(sync/async) interfaces
>2 Low-speed serial(sync/async) interfaces
>1 Virtual Private Network (VPN) Module
>DRAM configuration is 64 bits wide with parity disabled.
>191K bytes of NVRAM.
>62720K bytes of ATA CompactFlash (Read/Write)
>
>Configuration register is 0x2102username <username> password <password>
aaa new-model
aaa authentication login default local
vpdn enable
vpdn-group proba
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1interface Virtual-Template1
ip unnumbered <Iface For IP>
peer default ip address pool VPN_POOL
no keepalive
ppp authentication papip local pool VPN_POOL <диапазон IP-ов>
Вроде все...
>username <username> password <password>
>aaa new-model
>aaa authentication login default local
>
>
>vpdn enable
>vpdn-group proba
>! Default PPTP VPDN group
> accept-dialin
> protocol pptp
> virtual-template 1
>
>interface Virtual-Template1
> ip unnumbered <Iface For IP>
> peer default ip address pool VPN_POOL
> no keepalive
> ppp authentication pap
>
>ip local pool VPN_POOL <диапазон IP-ов>Спасибо! А че у клиента настраивать?
>>username <username> password <password>
>>aaa new-model
>>aaa authentication login default local
>>
>>
>>vpdn enable
>>vpdn-group proba
>>! Default PPTP VPDN group
>> accept-dialin
>> protocol pptp
>> virtual-template 1
>>
>>interface Virtual-Template1
>> ip unnumbered <Iface For IP>
>> peer default ip address pool VPN_POOL
>> no keepalive
>> ppp authentication pap
>>
>>ip local pool VPN_POOL <диапазон IP-ов>
>
>Спасибо! А че у клиента настраивать?подключение к VPN. (Виртуальная частная сеть)
Ищеш гуглом как - в инете таких инструкций вагон, практически на сайте любого прованайти можно.
>>Kharkiv-1-BACKBONE uptime is 6 days, 21 hours, 47 minutesВот я почему-то наперёд знал, что если не Харькив, то Кыив, или еще какой-нибудь Иванофранкивск. Что так, бадди? все, кто хоть что-нибудь умел, умотали в Московщину на заработки? Только такие как ты остались. Бедные вы, бедные :)
>>>Kharkiv-1-BACKBONE uptime is 6 days, 21 hours, 47 minutes
>
>Вот я почему-то наперёд знал, что если не Харькив, то Кыив, или
>еще какой-нибудь Иванофранкивск. Что так, бадди? все, кто хоть что-нибудь умел,
>умотали в Московщину на заработки? Только такие как ты остались. Бедные
>вы, бедные :)Сам-то откуда, что нас жалеешь?
>Сам-то откуда, что нас жалеешь?
Спасибо за помощь, fantom.
Я нашел нормальные доки на http://www.cisco.com/en/US/tech/tk583/tk372/tsd_technology_s...
Пробую - вроде получается. Только фигня какая-то творится с роутингом - клиенты к циске подключаются, а вот маршрут на них со стороны циски не появляется. Есть идеи?
>>>Kharkiv-1-BACKBONE uptime is 6 days, 21 hours, 47 minutes
>
>Вот я почему-то наперёд знал, что если не Харькив, то Кыив, или
>еще какой-нибудь Иванофранкивск. Что так, бадди? все, кто хоть что-нибудь умел,
>умотали в Московщину на заработки? Только такие как ты остались. Бедные
>вы, бедные :)
Kim, ты ошибся :( Серьезно ошибся - возможно, это твоя самая серьезная ошибка :)
Твой пост никак не помог мне настроить VPN. Вообще :( И я опечален...
Ну если run нету, то cisco.com search.Можешь здесь посмотреть:
http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_c...
>http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_c...
Посмотрел - оно! Но: при подключении клиентов не создаются маршруты на них и они не пингуются :(
А с помощью чего подключаешься? И покажи ipconfig и route print с компьютера...
>>http://www.cisco.com/en/US/products/sw/secursw/ps2308/prod_c...
>Посмотрел - оно! Но: при подключении клиентов не создаются маршруты на них
>и они не пингуются :(sh ip ro <IP>
что говорит?
sh run покажи (ту часть, что к vpn относится)поумолчанию на винде подключение защищено файрволом, а значить - они пингаться небудут :)
Спасибо всем, заработало!
Но остались вопросы:
1. При подключении клиенту выдается адрес из пула, но каждый раз новый. Как сделать, чтобы закрепить ИП за клиентом?
2. При попытке подключения ВПН-клиент спрашивает у юзера пароль. Как сделать, чтобы пароль не спрашивался (но использовался - т.е. как зашить его в конфиги)?Жду ответов!
Итог:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login userauthen local
aaa authorization network groupauthor local
!
aaa session-id common
!
resource policy
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
no ip ips deny-action ips-interface
!
!
!
!
username cisco password 0 cisco
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group 3000client
key cisco123
dns 10.5.102.11
wins 10.5.102.11
domain *******
pool ippool
acl 101
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!===============================================
reverse-route <=================== ОЧЕНЬ ВАЖНЫЙ МОМЕНТ!!!
!===============================================!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
!
!
interface Loopback0
ip address 10.5.81.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.5.104.253 255.255.255.0
duplex auto
speed auto
crypto map clientmap
!
interface FastEthernet0/1
ip address 192.168.2.1 255.255.255.0
shutdown
duplex auto
speed auto
!
interface Serial0/1/0
no ip address
shutdown
clockrate 125000
!
interface Serial0/1/1
no ip address
shutdown
clockrate 125000
!
ip local pool ippool 10.5.98.1 10.5.98.254
ip classless
ip route 0.0.0.0 0.0.0.0 10.5.104.254
!
ip http server
no ip http secure-server
!
access-list 101 permit ip 10.0.0.0 0.255.255.255 10.5.98.0 0.0.0.255
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
end
Чтоб не спрашивал пароль:
no crypto map clientmap client authentication list userauthen
>Чтоб не спрашивал пароль:
>no crypto map clientmap client authentication list userauthen
Уже допер! :) Теперь бы придумать, чтоб юзеру выдавался свой ИП и при переконнектах не менялся, а то каждый раз при переконекте берется следующий из пула... Радиус и Такакс не предлагать, ибо ставить мне их не на что... Хотя в крайнем случае приму :) вариант с радиусом - но поподробнее :)
Спасибо!