URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 15164
[ Назад ]

Исходное сообщение
"Помогите чайнику настроить VPN"

Отправлено mvitalya84 , 27-Дек-07 22:37 
Имеится Cisco 871 которая раздает ip адреса по DHCP во внутреней сети. Также имеется внешний ip адрес. Что нужно настроить, чтобы на удаленном компьютере я мог подключится к этой внутреней сети.

Содержание

Сообщения в этом обсуждении
"Помогите чайнику настроить VPN"
Отправлено CrAzOiD , 27-Дек-07 23:11 
>Имеится Cisco 871 которая раздает ip адреса по DHCP во внутреней сети.
>Также имеется внешний ip адрес. Что нужно настроить, чтобы на удаленном
>компьютере я мог подключится к этой внутреней сети.

http://www.cisco.com/go/sdm
Наглядная помощь


"Помогите чайнику настроить VPN"
Отправлено mvitalya84 , 29-Дек-07 00:22 
>>Имеится Cisco 871 которая раздает ip адреса по DHCP во внутреней сети.
>>Также имеется внешний ip адрес. Что нужно настроить, чтобы на удаленном
>>компьютере я мог подключится к этой внутреней сети.
>
>http://www.cisco.com/go/sdm
>Наглядная помощь

А можно по русски разжевать что, куда, и как?


"Помогите чайнику настроить VPN"
Отправлено CrAzOiD , 29-Дек-07 02:28 
>А можно по русски разжевать что, куда, и как?

IPSec VPN + Cisco VPN Client на машине
Настраиваешь VPN сервер на кошке, что-то типа этого (используем PreSharedKey):

!
hostname Cisco820
!
!
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default if-needed group radius local
aaa authorization exec default local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip domain lookup
ip domain name xxx.ru
ip name-server 192.168.5.1
!
ip cef
ip flow-cache timeout active 5
!
username xxx privilege 15
!
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2  
!        
crypto isakmp client configuration group VPN_client_Secret_Group
key Very_Secret_Group_Key
dns 192.168.5.17 192.168.5.34
wins 192.168.5.17
domain xxx.ru
pool ippool
acl 108  
!        
!        
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!        
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 46080
set security-association lifetime seconds 10800
set transform-set myset
!        
!        
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!        
bridge irb
!        
!
interface Null0
no ip unreachables
!
interface Ethernet0
ip address 192.168.5.254 255.255.255.0
ip nat inside
ip route-cache flow
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
bridge-group 1
pvc 8/35
!
!
interface BVI1
ip address xxx.xxx.xxx.xxx 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache flow
crypto map clientmap
!
ip local pool ippool 192.168.6.1 192.168.6.20
ip nat inside source list NAT interface BVI1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.97 permanent
ip http server
ip http authentication local
no ip http secure-server
ip flow-export source Ethernet0
ip flow-export version 5
ip flow-export destination 192.168.5.1 9996
!
!
ip access-list extended NAT
deny   ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
permit ip 192.168.5.1 0.0.0.255 any
deny   ip any any
!
access-list 108 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
no cdp run
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
length 0
transport input all
transport output all
!
end

Данный пример показывает типовую настройку IPSec VPN
ACL 108 определяет какие маршруты будут назначены на клиенте (split routing)
Ставишь клиент, настраиваешь свой адрес, группу и групповой пароль, коннектишься. Логин и пароль локальные кошкины.

Ссылка на SDM постом выше - это ссылка на приложение которое упрощяет в какой-то мере настройку основных функций маршрутизатора.
Да, потребуется IOS с поддержкой IPSEC и 3DES


"Помогите чайнику настроить VPN"
Отправлено mvitalya84 , 14-Янв-08 23:33 
с помощью SDM я наворотил вот такую фигню:

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$qBxp$rofVnM51mK0ikfdN5uzwX/
!
aaa new-model
!
!
aaa authentication login sdm_vpn_xauth_ml_1 local
aaa authorization network sdm_vpn_group_ml_1 local
!
!
aaa session-id common
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group BAZA
key 123
pool SDM_POOL_1
netmask 255.255.255.0
crypto isakmp profile sdm-ike-profile-1
   match identity group BAZA
   client authentication list sdm_vpn_xauth_ml_1
   isakmp authorization list sdm_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile SDM_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile sdm-ike-profile-1
!
!
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1 192.168.1.99
ip dhcp excluded-address 192.168.1.1 192.168.1.50
ip dhcp ping packets 5
!
ip dhcp pool LAN
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   domain-name Ovsyanoe
   dns-server 87.237.112.10 195.5.128.132
!
!
!
vpdn enable
!
vpdn-group 1
request-dialin
  protocol pppoe
!
!
!
username vitacom privilege 15 view root secret 5 $1$9KOz$VBLs8FpoGx1zwvAjq1aUO.
archive
log config
  hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1 type tunnel
ip unnumbered Vlan1
tunnel mode ipsec ipv4
tunnel protection ipsec profile SDM_Profile1
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
no ip mroute-cache
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp chap refuse
ppp ms-chap refuse
ppp ms-chap-v2 refuse
ppp pap sent-username ovss password 0 999100
!
ip local pool SDM_POOL_1 192.168.1.20 192.168.1.30
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip http server
no ip http secure-server
ip nat inside source list 1 interface Dialer1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit

но VPN не соединяется, что здесь не так?



"Помогите чайнику настроить VPN"
Отправлено CrAzOiD , 15-Янв-08 00:34 
>interface Virtual-Template1 type tunnel
> ip unnumbered Vlan1
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile SDM_Profile1

interface Virtual-Template1 type tunnel
ip unnumbered Dialer1

иначе как вы пытаетесь прицепиться, по внутреннему интерфейсу?


"Помогите чайнику настроить VPN"
Отправлено mvitalya84 , 22-Янв-08 10:53 
>>interface Virtual-Template1 type tunnel
>> ip unnumbered Vlan1
>> tunnel mode ipsec ipv4
>> tunnel protection ipsec profile SDM_Profile1
>
>interface Virtual-Template1 type tunnel
> ip unnumbered Dialer1
>
>иначе как вы пытаетесь прицепиться, по внутреннему интерфейсу?

прописал я это дело. так же все не соединяется


"Помогите чайнику настроить VPN"
Отправлено mvitalya84 , 22-Янв-08 11:09 
может я не той прогрммой подулючаюсь, потому что в SDM тест соединения проходит. у меня VPN Client 4.6.00.0045



"Помогите чайнику настроить VPN"
Отправлено mvitalya84 , 22-Янв-08 12:53 
Все соеденился. Теперь вот другая проблема. у меня ничего не пингуется хотя внутрений адрес я получил



"Помогите чайнику настроить VPN"
Отправлено Grrruk , 20-Апр-08 14:56 
>Все соеденился. Теперь вот другая проблема. у меня ничего не пингуется хотя
>внутрений адрес я получил

Только что долго гулял по этим граблям. В dynamic-map надо сказать reverse-route, типа

crypto dynamic-map dynmap 10
set transform-set myset
reverse-route
!

А иначе оно не знает куда обратно отправлять пакеты.