URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1259
[ Назад ]

Исходное сообщение
"Поднять VPN на 2911 + SM-ES3G-24-P"
Отправлено Oscbam , 06-Мрт-14 12:26

Доброго всем дня!
Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести Cisco 2911 + к нему модуль SM-ES3G-24-P. Все это еще в пути, железок на столе еще нет, но и времени тоже нет.
Вопрос:
Мне нужно поднять на нем VPN (например PPTP) и настроить доступ ко всем подсетям которые подключены к портам циски (к SM-ES3G-24-P). Я раньше это проворачивал на FreeBSD, но тут малость все по другому =) как сделать VPN - я инфу вроде нашел... . Хотя как это окажется на деле, понятно - не знаю, но приготовиться к приезду циски надо. Потом, как маршрутизировать ip адрес, который будет получать пользователь при создании VPN соединения, в другие сети (более 5 разных подсетей)? Не кидайтесь в меня помидорами или кидайтесь, но прошу, помогите кто чем может - а я в долгу не останусь, обещаю! Если кто-то сможет написать пример на основе пусть 2-х подсетей к примеру - я буду безмерно благодарен, а так же просто отсылу на уже существующие статьи в интернете.
Вот такая просьба полного профана по цискам.
С уважением,
Алексей.

Содержание

Поднять VPN на 2911 + SM-ES3G-24-P,ShyLion, 14:54 , 07-Мрт-14
Поднять VPN на 2911 + SM-ES3G-24-P,ShyLion, 15:00 , 07-Мрт-14
- Поднять VPN на 2911 + SM-ES3G-24-P,Oscbam, 15:38 , 07-Мрт-14
- Поднять VPN на 2911 + SM-ES3G-24-P,Oscbam, 14:20 , 12-Мрт-14

Сообщения в этом обсуждении

"Поднять VPN на 2911 + SM-ES3G-24-P"
Отправлено ShyLion , 07-Мрт-14 14:54

aaa new-model
!
aaa group server radius LAN_RADIUS
server-private 10.х.х.х auth-port 1812 acct-port 1813 key 0 key
server-private 10.y.y.y auth-port 1812 acct-port 1813 key 0 key
ip radius source-interface Loopback0
!
aaa authentication ppp VPN local group LAN_RADIUS
aaa authorization network VPN local group LAN_RADIUS
aaa accounting network VPN
action-type start-stop
group LAN_RADIUS
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
description l2tp group
accept-dialin
  protocol l2tp
  virtual-template 1
no l2tp tunnel authentication
!
vpdn-group PPTP
! Default PPTP VPDN group
description PPTP
accept-dialin
  protocol pptp
  virtual-template 1
l2tp tunnel timeout no-session 15
!
username ppptest privilege 0 password 0 parol-dlya-testa
!
crypto keyring L2TP_IPSec
  pre-shared-key address 0.0.0.0 0.0.0.0 key KLYUCHIK
!
no crypto xauth GigabitEthernet0/0
no crypto isakmp default policy
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map L2TP_IPSec 1
set nat demux
set transform-set 3DES_SHA_tr
!
crypto map OUTSIDE 65535 ipsec-isakmp dynamic L2TP_IPSec
!
interface Loopback0
ip address 10.z.z.z 255.255.255.255
!
interface GigabitEthernet0/0
ip address внешний
...
crypto map OUTSIDE
!
!
interface Virtual-Template1
description PPP template
mtu 1300
ip unnumbered Loopback0
no ip redirects
ip tcp adjust-mss 1260
peer default ip address pool pool_general
no snmp trap link-status
no keepalive
ppp encrypt mppe 128
ppp authentication ms-chap-v2 callin VPN
ppp authorization VPN
ppp accounting VPN
ppp timeout retry 10
!
ip local pool pool_general 10.a.b.c 10.a.b.d
!
В таком виде работает ГОДЫ PPTP, L2TP, L2TP/IPSec.
Ключи, адреса, радиус - по вкусу.
Насчет роутинга не очень понятен вопрос. Кроме Кисы будут еще маршрутизаторы в сети?

"Поднять VPN на 2911 + SM-ES3G-24-P"
Отправлено ShyLion , 07-Мрт-14 15:00

> Доброго всем дня!
> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
> Cisco 2911 + к нему модуль SM-ES3G-24-P
Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?

"Поднять VPN на 2911 + SM-ES3G-24-P"
Отправлено Oscbam , 07-Мрт-14 15:38

>> Доброго всем дня!
>> Раньше, преимущественно работал  c  FreeBSD, а тут нелегкая заставила приобрести
>> Cisco 2911 + к нему модуль  SM-ES3G-24-P
> Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?
Спасибо большое за конфиг. Я правда еще не научился понимать как его продублировать в циску (не видя конкретные команды в консоли)=) но с этим позже думаю разберусь.
Покупался как есть, если лицензии не входят то, видимо, нет. А без лицензии обычный VPN (PPTP) поднять нельзя?
По маршрутизации. В установленный в циску модуль SM-ES3G-24-P будут воткнуты куча разных подсетей (одна подсеть на свой порт в модуле), и пользователь посредствам VPN соединения должен иметь доступ к ним. На FreeBSD я натил через IPFW, наверное и тут надо так делать, хотя мне где-то ответили (на такую же формулировку вопроса) так, что я до сих пор не проглотил "Через reverse-route injection и далее редистрибуция внутрь IGP"

"Поднять VPN на 2911 + SM-ES3G-24-P"
Отправлено Oscbam , 12-Мрт-14 14:20

>> Доброго всем дня!
>> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
>> Cisco 2911 + к нему модуль SM-ES3G-24-P
> Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?
ShyLion, еще один вопрос, Есть два офиса. Если есть один VNP сервер на FreeBSD, я же по сути могу использовать циску сквозняком... без его VPN. Например у сервера VPN на фре 6 сетевых карт, к 5ти подключены одни подсети - в одном офисе, а 6-ой порт включен к выделенной линии (VPN на уровне провайдера) объединяющей два офиса. И в другом офисе стоит циска (с подключенными к ней подсетями) и просто выполняет роль роутера, обеспечивая доступ к подсетям VPN клиентов с FreeBSD.
Тогда и геморой с лицензиями отпадает.