URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14864
[ Назад ]

Исходное сообщение
"PPTP VPN на киске 871"
Отправлено Denis Samsonov , 15-Ноя-07 12:29

Совершенно дуратский вопрос, но нету вариантов его решения в голове (
Требуется на Cisco 871 настроить доступ удаленных сотрудников через VPN.
Требования:
1 - Протокол PPTP, обязательное шифрование траффика в тунеле
2 - У всех пользователей для VPN есть свой персональный аккаунт, который присвоен к определенной группе, RADIUS сервер не используется
3 - У каждой группы должны быть на основе прав доступа ко внешней сети, внутренней сети и сразу к обеим сетя
как реализовать нечто подобное?

Содержание

PPTP VPN на киске 871,dxer, 12:31 , 15-Ноя-07
- PPTP VPN на киске 871,Denis Samsonov, 15:16 , 15-Ноя-07
  - PPTP VPN на киске 871,flashdumper, 18:13 , 15-Ноя-07
PPTP VPN на киске 871,Denis Samsonov, 16:22 , 19-Ноя-07

Сообщения в этом обсуждении

"PPTP VPN на киске 871"
Отправлено dxer , 15-Ноя-07 12:31

>Совершенно дуратский вопрос, но нету вариантов его решения в голове (
>Требуется на Cisco 871 настроить доступ удаленных сотрудников через VPN.
>Требования:
>1 - Протокол PPTP, обязательное шифрование траффика в тунеле
>2 - У всех пользователей для VPN есть свой персональный аккаунт, который
>присвоен к определенной группе, RADIUS сервер не используется
>3 - У каждой группы должны быть на основе прав доступа ко
>внешней сети, внутренней сети и сразу к обеим сетя
>
>как реализовать нечто подобное?
Используйте IPSec Remote access. Это наиболее современный и безопасный уровень доступа в ЛВС предприятия. Легко реализуется. Масса примеров на Cisco.com

"PPTP VPN на киске 871"
Отправлено Denis Samsonov , 15-Ноя-07 15:16

>[оверквотинг удален]
>>1 - Протокол PPTP, обязательное шифрование траффика в тунеле
>>2 - У всех пользователей для VPN есть свой персональный аккаунт, который
>>присвоен к определенной группе, RADIUS сервер не используется
>>3 - У каждой группы должны быть на основе прав доступа ко
>>внешней сети, внутренней сети и сразу к обеим сетя
>>
>>как реализовать нечто подобное?
>
>Используйте IPSec Remote access. Это наиболее современный и безопасный уровень доступа в
>ЛВС предприятия. Легко реализуется. Масса примеров на Cisco.com
к сожалению не великий знаток кисок и впн-ов :( можно ли рассказать об этом подробнее, подойдет ли это. Одно из требований, чтобы пользователи могли создавать туннель с помощью дефолтного виндового pptp клиента или линухового pptpclient, без установки дополнительного софта

"PPTP VPN на киске 871"
Отправлено flashdumper , 15-Ноя-07 18:13

>[оверквотинг удален]
>>>
>>>как реализовать нечто подобное?
>>
>>Используйте IPSec Remote access. Это наиболее современный и безопасный уровень доступа в
>>ЛВС предприятия. Легко реализуется. Масса примеров на Cisco.com
>
>к сожалению не великий знаток кисок и впн-ов :( можно ли рассказать
>об этом подробнее, подойдет ли это. Одно из требований, чтобы пользователи
>могли создавать туннель с помощью дефолтного виндового pptp клиента или линухового
>pptpclient, без установки дополнительного софта
используйте поиск... примеров тут до чертиков.

"PPTP VPN на киске 871"
Отправлено Denis Samsonov , 19-Ноя-07 16:22

Сделал немного проше,но не могу понять -  почему NAT не выпускает подключенных по pptp, как решить этот вопрос в моем случае? вот конфиг
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname office-gw
!
boot-start-marker
boot-end-marker
!
enable secret 5
!
no aaa new-model
!
resource policy
!
clock timezone msk 3
clock summer-time msk recurring last Sun Mar 0:00 last Sun Oct 0:00
ip subnet-zero
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.0.200 192.168.0.254
!
ip dhcp pool office_lan
   network 192.168.0.0 255.255.255.0
   domain-name unisnet.ru
   dns-server 192.168.0.1
   default-router 192.168.0.1
   lease 2
!
ip domain name unisnet.ru
ip name-server чч
ip name-server чч
ip ssh version 2
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
!
!
!
username admin privilege 15 password 7
username support password 7
username vpn password 7
!
!
!
bridge irb
!
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
no cdp enable
!
interface FastEthernet4
ip address ччч чччч
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Virtual-Template1
ip unnumbered BVI1
ip nat inside
ip virtual-reassembly
peer default ip address dhcp-pool office_lan
ppp encrypt mppe auto
ppp authentication ms-chap pptp
bridge-group 1
!
interface Dot11Radio0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
!
encryption mode ciphers tkip
!
ssid ТИПАССИД
    authentication open
    authentication key-management wpa
    wpa-psk ascii 7
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
station-role root
no dot11 extension aironet
no cdp enable
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Vlan1
no ip address
bridge-group 1
!
interface BVI1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 ччччч permanent
!
no ip http server
no ip http secure-server
ip nat pool office_lan ччччч netmask 255.255.255.192
ip nat inside source list 1 pool office_lan overload
ip dns server
!
ip access-list extended NAT
permit ip 192.168.0.0 0.0.255.255 any
permit gre 192.168.0.0 0.0.255.255 any
!
access-list 1 permit 192.168.0.0 0.0.255.255
no cdp run
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
ntp clock-period 17174973
ntp server 80.250.162.177
end