Помогите плиз... Никак не могу настроить VPN. Задача стоит следующая.Нужно на Cisco 2800 настроить pptp VPN таким образом чтобы он изнутри пускал наружу.
То-есть пользователь из локальной сети логиниться на циску получает pptp-коннект с маршрутизируемым адресом и таким образом выходит в интернет.Для начала пользователи хронятся локально на самой циске.
Пул адресов тоже один. Я взял для тестов локальную сеть 10.0.16.0/24Проблема в следующем:
Если я пингую клиенский хост который получил адрес скажем 10.0.16.15 то пинги проходят.
А если я хочу пустить пинг с 10.0.16.15 куда-либо то пакеты долетают до шлюза 10.0.16.2version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname VPN
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$C.B/$mS
!
aaa new-model
!
!
aaa authentication ppp default local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
!
ip domain name xxxx.xx
ip name-server xxx.xxx.xxx.xxx
ip ssh version 2
no ip ips deny-action ips-interface
vpdn enable
vpdn ip udp ignore checksum
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
local name VPN
!
!
no ftp-server write-enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username user secret 5 $1$TPdO$1
!
!
!
!
!
!
interface GigabitEthernet0/0
description LAN
ip address xxx.xxx.xxx.xxx 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
description WAN
ip address 10.0.16.2 255.255.255.0
shutdown
duplex auto
speed auto
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1
ip mroute-cache
peer default ip address pool VPN-IN
!
ip local pool VPN 10.0.16.10 10.0.16.20
ip default-gateway xxx.xxx.xxx.xxx
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx
!
!
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
logging synchronous
history size 256
transport preferred none
transport input ssh
line vty 5 15
logging synchronous
history size 256
transport preferred none
transport input ssh
!
scheduler allocate 20000 1000
!
end
>[оверквотинг удален]
> shutdown
> duplex auto
> speed auto
>!
>interface Virtual-Template1
> ip unnumbered GigabitEthernet0/1
> ip mroute-cache
> peer default ip address pool VPN-IN
>!
>ip local pool VPN 10.0.16.10 10.0.16.20Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.
>[оверквотинг удален]
>> speed auto
>>!
>>interface Virtual-Template1
>> ip unnumbered GigabitEthernet0/1
>> ip mroute-cache
>> peer default ip address pool VPN-IN
>>!
>>ip local pool VPN 10.0.16.10 10.0.16.20
>
>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.interface Virtual-Template1
ip unnumbered GigabitEthernet0/1И чего интерфейс GigabitEthernet0/1 в шатдауне?
>[оверквотинг удален]
>>> peer default ip address pool VPN-IN
>>>!
>>>ip local pool VPN 10.0.16.10 10.0.16.20
>>
>>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.
>
>interface Virtual-Template1
>ip unnumbered GigabitEthernet0/1
>
>И чего интерфейс GigabitEthernet0/1 в шатдауне?адреса серые взял просто для тестирования. как все отлажу подсуну пул с реальными.
интерфейс в дауне - это не верно... исправлю проверю как работать будет. о результатах отпишу.
>[оверквотинг удален]
>>interface Virtual-Template1
>>ip unnumbered GigabitEthernet0/1
>>
>>И чего интерфейс GigabitEthernet0/1 в шатдауне?
>
>адреса серые взял просто для тестирования. как все отлажу подсуну пул с
>реальными.
>
>интерфейс в дауне - это не верно... исправлю проверю как работать будет.
>о результатах отпишу.все заработало. и даже внешние ip повесил.
единственное чего так и не удалось запинать - так это что бы разным польлзователям разные пулы выдовались.
кто-нибудь знает как это нарулить?я делал так:
aaa new-model
!
!
aaa authentication ppp default local
!
aaa attribute list poolLAN
attribute type addr-pool "VPN-IN" service ppp protocol ipusername vvv secret 5 $1$TP
username user secret 5 $1$JC1
username user aaa attribute list poolLANip local pool VPN-IN yyy.yyy.yyy.10 yyy.yyy.yyy.20
ip local pool TEST xxx.xxx.xxx.165 xxx.xxx.xxx.185
как видно из конфига по задумке юсер vvv должне ходить через пул TEST (он нарулен как дефолтный) а юсер user должен ходить через VPN-IN
однако user когда подключает vpn получает адрес из TESTгде чего не докрутил?
>все заработало. и даже внешние ip повесил.
>единственное чего так и не удалось запинать - так это что бы
>разным польлзователям разные пулы выдовались.Для этого поднять какой нить радиус сервер надо - штатными средствами циски никак.
Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный Вашему конфиг с доступом из интернета по VPN к внутренней сети компании.Заранее спасибо.
>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный
>Вашему конфиг с доступом из интернета по VPN к внутренней
>сети компании.
>
>Заранее спасибо.То же самое, только
interface Virtual-Template1
ip unnumbered " LAN интерфейс "
>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный
>Вашему конфиг с доступом из интернета по VPN к внутренней
>сети компании.
>
>Заранее спасибо.Реализация для PPTP & L2TP
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
!
ip name-server СВОЙvpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
vpdn-group 2
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
ip pmtu
ip mtu adjustasync-bootp dns-server СВОЙ
async-bootp nbns-server СВОЙusername СВОИ
crypto isakmp policy 100
hash md5
authentication pre-sharecrypto isakmp key СВОЙ address 0.0.0.0 0.0.0.0
crypto ipsec transform-set L2TP esp-des esp-md5-hmac
mode transportcrypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set L2TP
interface Virtual-Template1
description For people who is connected on WiFi link
ip unnumbered СВОЙ
ip policy route-map TEST
ip mroute-cache
peer default ip address pool DIAL-WIFI
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface Virtual-Template2
ip unnumbered СВОЙ
ip nat inside
ip virtual-reassembly
ip mroute-cache
autodetect encapsulation ppp
peer default ip address pool DIAL-WIFI
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2interface VlanХХХ
интерфейс что смотрит в ИНЕТ
ip nat outside
ip virtual-reassembly
ntp disable
crypto map L2TP
crypto ipsec df-bit clearip local pool DIAL-WIFI 10.0.14.1 10.0.14.10
Огромное спасибо....
А не разъяснить ли кто следующее: насколько я понимаю, при поднятии vpn сервиса циска будет "слушать" подключения на всех своих интерфейсах? Если это так, то как заставить слушать только на конкретном интерфейсе? Или надо просто приклеить ко всем остальным ифейсам входящие acl с запретом tcp/1723 и gre?Заранее спасибо.