URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20033
[ Назад ]

Исходное сообщение
"Оборудование для надомного сотрудника"

Отправлено RET , 16-Ноя-09 13:19 
Добрый день. Есть Cisco 2800 и есть надомный сотрудник, домашнюю сеть которого, нужно соединить по VPN с корпоративной сетью. Так же надо учесть что домашняя сеть находится за NAT'ом провайдера, то есть ни каких реальных IP адресов и проброса портов сделать не возможно (со стороны 2800 всё прозрачно). Так что нужна не большая и не дорогая железка которая бы смогла постоить Lan-to-Lan туннель (через NAT) из дома до корпоративной сети. Кто что посоветует из оборудования?

Содержание

Сообщения в этом обсуждении
"Оборудование для надомного сотрудника"
Отправлено ДорогойДрук , 16-Ноя-09 13:40 
Если провайдер режет gre, с целью продать больше реал ИПов
то циски вам не помогут
и придется смотреть в сторону опенвпн


Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800


"Оборудование для надомного сотрудника"
Отправлено RET , 16-Ноя-09 13:47 
>Если провайдер режет gre, с целью продать больше реал ИПов
>то циски вам не помогут
>и придется смотреть в сторону опенвпн
>

Не думаю что провайдер режет GRE

>Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800

А смысл, мне нужен не VPN на его компьютере, а VPN LAN-to-LAN
Home_LAN ---- NAT ---- Internet ---- Office_LAN


"Оборудование для надомного сотрудника"
Отправлено ДорогойДрук , 16-Ноя-09 13:51 
>>Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800
>
>А смысл, мне нужен не VPN на его компьютере, а VPN LAN-to-LAN
>
>Home_LAN ---- NAT ---- Internet ---- Office_LAN

это для проверки зарезания гре
вы же не хотите купить железяку, а потом обломаться с провайдером?


"Оборудование для надомного сотрудника"
Отправлено RET , 16-Ноя-09 13:56 
>>>Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800
>>
>>А смысл, мне нужен не VPN на его компьютере, а VPN LAN-to-LAN
>>
>>Home_LAN ---- NAT ---- Internet ---- Office_LAN
>
>это для проверки зарезания гре
>вы же не хотите купить железяку, а потом обломаться с провайдером?

А что за железка?
GRE проверю в ближайшее время


"Оборудование для надомного сотрудника"
Отправлено ДорогойДрук , 16-Ноя-09 14:07 
>А что за железка?
>GRE проверю в ближайшее время

Опенвпн умеет любой роутер с прошивкой опенврт или подобной.
Ставить придется 2шт, один у сотрудника, другую на работе.
а если гре не режется, то исходя из бюджета выбирать циску и дружить её с 2800.


"Оборудование для надомного сотрудника"
Отправлено RET , 16-Ноя-09 14:15 
>>А что за железка?
>>GRE проверю в ближайшее время
>
>Опенвпн умеет любой роутер с прошивкой опенврт или подобной.
>Ставить придется 2шт, один у сотрудника, другую на работе.
>а если гре не режется, то исходя из бюджета выбирать циску и
>дружить её с 2800.

Ставить в офисе ещё одну железку - не вариант. Ставить дома циску - дорого (таких сотрудников бутет несколько). Может есть ещё какие нибудь варианты. Сейчас глянул, у линксиса есть VPN роутеры с IPSec, но боюсь что он не сможет построить туннель через NAT.



"Оборудование для надомного сотрудника"
Отправлено ДорогойДрук , 16-Ноя-09 14:24 
>Ставить в офисе ещё одну железку - не вариант. Ставить дома циску
>- дорого (таких сотрудников бутет несколько). Может есть ещё какие нибудь
>варианты. Сейчас глянул, у линксиса есть VPN роутеры с IPSec, но
>боюсь что он не сможет построить туннель через NAT.

Какадо обычно этим грешит, да.
>

А это мысль. Если линксис не заведется через нат, его всегда можно перешить в опенврт :)
Еще как вариант - таки купить у провайдера реал ИП и забыть про нат.


"Оборудование для надомного сотрудника"
Отправлено Stell , 16-Ноя-09 14:52 
А софтовое решение клиентской части вас не устроит? Настроить 2800 в качестве EasyVPN сервера, на клиенте Cisco VPN Client (существует так же опенсорсный кроссплатформенный клиент http://www.shrew.net/)
Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются в UDP для хождения через NAT)

"Оборудование для надомного сотрудника"
Отправлено RET , 16-Ноя-09 15:32 
>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>в UDP для хождения через NAT)

Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и 4500 UDP порты на этот роутер, или я не прав?


"Оборудование для надомного сотрудника"
Отправлено Николай , 16-Ноя-09 17:01 
Чем не вариант поднять EasyVPN server на 2800? А в EasyVPN клиенте можно транспорт на tcp порты повесить.


"Оборудование для надомного сотрудника"
Отправлено j_vw , 16-Ноя-09 19:31 
>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>>в UDP для хождения через NAT)
>
>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>4500 UDP порты на этот роутер, или я не прав?

Не совсем. Нормальный нат все и так понимает.
Что попробовать то мешает?

У меня, например, было только 2 случая (из нескольких сотен точек подключения), когда Cisco VPN client (по UDP) у мобильного клиента не работал...Один, где то в Словакии, второй где то в Турции...


"Оборудование для надомного сотрудника"
Отправлено Stell , 16-Ноя-09 19:40 
>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>>в UDP для хождения через NAT)
>
>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>4500 UDP порты на этот роутер, или я не прав?

Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента, а "проброс порта" для пакетов которые возвращаются в ответ у провайдера произойдет автоматически, именно в этом и заключается суть NAT. Проверить без железа можно тем же Cisco VPN Client'ом, который использует NAT-T с теми же портами 500, 4500.
Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не замечено.


"Оборудование для надомного сотрудника"
Отправлено RET , 16-Ноя-09 19:45 
>[оверквотинг удален]
>>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>>4500 UDP порты на этот роутер, или я не прав?
>
>Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента,
>а "проброс порта" для пакетов которые возвращаются в ответ у провайдера
>произойдет автоматически, именно в этом и заключается суть NAT. Проверить без
>железа можно тем же Cisco VPN Client'ом, который использует NAT-T с
>теми же портами 500, 4500.
>Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не
>замечено.

Хм, а как указывать peer в криптомапе тогда на 2800?


"Оборудование для надомного сотрудника"
Отправлено Stell , 16-Ноя-09 19:59 
>Хм, а как указывать peer в криптомапе тогда на 2800?

Для Cisco VPN Client читайте EzVPN (EasyVPN). Например:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

Для любой железки с NAT-T почитайте про crypto dynamic-map.


"Оборудование для надомного сотрудника"
Отправлено j_vw , 16-Ноя-09 20:09 
Ну, скорее ЭТО больше подходит:

http://www.ciscolab.ru/2007/03/14/router_vpn_stick.html

Только без VPN-на-палочке....
Лень искать...Были нормальные описания...
Пусть начинает с этого, а специфику (передача клиенту только нужных сетей и т.д) уже потом...



"Оборудование для надомного сотрудника"
Отправлено RET , 16-Ноя-09 23:19 
>Для любой железки с NAT-T почитайте про crypto dynamic-map.

Собрал по кусочкам из интернета и мануалов

Настройки на 2800:

!
crypto keyring spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp profile L2L
   description LAN-to-LAN for spoke router connection
   keyring spokes
   match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap  

Настройки на Linksys или D-link (например)
Local Secure Group:  домашняя_сеть/24
Remote Secure Group: корпоративная_сеть/16
Remote Secure Gateway: внешний_IP_cisco_2800
и галочка NAT-T

при таком конфиге не совсем понятно как 2800 определяет какие сети ей шифровать и заворачивать в IPSec туннель


"Оборудование для надомного сотрудника"
Отправлено j_vw , 17-Ноя-09 01:12 
>>Для любой железки с NAT-T почитайте про crypto dynamic-map.
>
>Собрал по кусочкам из интернета и мануалов

Вот ведь упрямый человек ;)
Говорят ему - есть стандартное, провереное решение для удаленных пользователей...

Нет....Он что то "по кусочкам" собирает ;) И длинки мучает....

Кодовое слово Cisco VPN Client.
Если нет желания искать - вот вариант альтернативы:
http://habrahabr.ru/blogs/infosecurity/71077/
Сам не пробовал....

Не изобретайте велосипед ;)
Точнее - Изобретайте, но САМОСТОЯТЕЛЬНО.



"Оборудование для надомного сотрудника"
Отправлено RET , 17-Ноя-09 10:05 

>Нет....Он что то "по кусочкам" собирает ;) И длинки мучает....
>
>Кодовое слово Cisco VPN Client.
>Если нет желания искать - вот вариант альтернативы:
>http://habrahabr.ru/blogs/infosecurity/71077/
>Сам не пробовал....

Ткните носом, как Cisco VPN Client соединит домашнюю сетку /24 в которой кроме самого копьютера ещё кучка устройств, с корпоративной сетью. Тем более речь идет о железном устройстве, а не о комьютере.


"Оборудование для надомного сотрудника"
Отправлено Stell , 17-Ноя-09 10:17 

>crypto dynamic-map dynmap 10
>set transform-set myset
>set isakmp-profile L2L
>при таком конфиге не совсем понятно как 2800 определяет какие сети ей
>шифровать и заворачивать в IPSec туннель

под "crypto dynamic-map dynmap 10"
match address VPN_ACL

ip access-list extended VPN_ACL
permit ip <home_lan> <wildcard_mask> <office_lan> <wildcard_mask>


"Оборудование для надомного сотрудника"
Отправлено Stell , 17-Ноя-09 10:18 
Прошу прощения, office_lan и home_lan в ACL перепутал местами.

"Немного поправлю"
Отправлено j_vw , 17-Ноя-09 19:39 
>Прошу прощения, office_lan и home_lan в ACL перепутал местами.

Не нужно только привязываться к "home_lan".... Они  - любые...

crypto isakmp client configuration group %GROUP%
key %KEY%
pool %POOL%
acl EasyVPN
include-local-lan
netmask 255.255.255.0

ip access-list extended EasyVPN
permit ip %Office_net_addr% 0.0.0.255 any
permit ip %Office2_net_addr% 0.0.0.255 any

Эти сети появятся в винде с роутом в ВПН. Остальное - по дефолтному маршруту.



"Оборудование для надомного сотрудника"
Отправлено Dr.Bier , 17-Ноя-09 00:36 
Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через машину сотрудника с vpn-соединением не подойдёт?

"Оборудование для надомного сотрудника"
Отправлено RET , 17-Ноя-09 10:06 
>Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через
>машину сотрудника с vpn-соединением не подойдёт?

Вариан с nat-ится не подходит


"Оборудование для надомного сотрудника"
Отправлено Николай , 17-Ноя-09 10:43 
>>Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через
>>машину сотрудника с vpn-соединением не подойдёт?
>
>Вариан с nat-ится не подходит

Как вариант можно поставить самую простую железку 851 с опцией nem extended. Как извращенный вариант поднять Dynamips с нужным IOS и отстроиться от него с опцией nem extended :))