Добрый день. Есть Cisco 2800 и есть надомный сотрудник, домашнюю сеть которого, нужно соединить по VPN с корпоративной сетью. Так же надо учесть что домашняя сеть находится за NAT'ом провайдера, то есть ни каких реальных IP адресов и проброса портов сделать не возможно (со стороны 2800 всё прозрачно). Так что нужна не большая и не дорогая железка которая бы смогла постоить Lan-to-Lan туннель (через NAT) из дома до корпоративной сети. Кто что посоветует из оборудования?
Если провайдер режет gre, с целью продать больше реал ИПов
то циски вам не помогут
и придется смотреть в сторону опенвпн
Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800
>Если провайдер режет gre, с целью продать больше реал ИПов
>то циски вам не помогут
>и придется смотреть в сторону опенвпн
>Не думаю что провайдер режет GRE
>Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800
А смысл, мне нужен не VPN на его компьютере, а VPN LAN-to-LAN
Home_LAN ---- NAT ---- Internet ---- Office_LAN
>>Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800
>
>А смысл, мне нужен не VPN на его компьютере, а VPN LAN-to-LAN
>
>Home_LAN ---- NAT ---- Internet ---- Office_LANэто для проверки зарезания гре
вы же не хотите купить железяку, а потом обломаться с провайдером?
>>>Для начала проверьте, может ли этот сотрудник поднять впн со своего компа до 2800
>>
>>А смысл, мне нужен не VPN на его компьютере, а VPN LAN-to-LAN
>>
>>Home_LAN ---- NAT ---- Internet ---- Office_LAN
>
>это для проверки зарезания гре
>вы же не хотите купить железяку, а потом обломаться с провайдером?А что за железка?
GRE проверю в ближайшее время
>А что за железка?
>GRE проверю в ближайшее времяОпенвпн умеет любой роутер с прошивкой опенврт или подобной.
Ставить придется 2шт, один у сотрудника, другую на работе.
а если гре не режется, то исходя из бюджета выбирать циску и дружить её с 2800.
>>А что за железка?
>>GRE проверю в ближайшее время
>
>Опенвпн умеет любой роутер с прошивкой опенврт или подобной.
>Ставить придется 2шт, один у сотрудника, другую на работе.
>а если гре не режется, то исходя из бюджета выбирать циску и
>дружить её с 2800.Ставить в офисе ещё одну железку - не вариант. Ставить дома циску - дорого (таких сотрудников бутет несколько). Может есть ещё какие нибудь варианты. Сейчас глянул, у линксиса есть VPN роутеры с IPSec, но боюсь что он не сможет построить туннель через NAT.
>Ставить в офисе ещё одну железку - не вариант. Ставить дома циску
>- дорого (таких сотрудников бутет несколько). Может есть ещё какие нибудь
>варианты. Сейчас глянул, у линксиса есть VPN роутеры с IPSec, но
>боюсь что он не сможет построить туннель через NAT.Какадо обычно этим грешит, да.
>А это мысль. Если линксис не заведется через нат, его всегда можно перешить в опенврт :)
Еще как вариант - таки купить у провайдера реал ИП и забыть про нат.
А софтовое решение клиентской части вас не устроит? Настроить 2800 в качестве EasyVPN сервера, на клиенте Cisco VPN Client (существует так же опенсорсный кроссплатформенный клиент http://www.shrew.net/)
Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются в UDP для хождения через NAT)
>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>в UDP для хождения через NAT)Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и 4500 UDP порты на этот роутер, или я не прав?
Чем не вариант поднять EasyVPN server на 2800? А в EasyVPN клиенте можно транспорт на tcp порты повесить.
>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>>в UDP для хождения через NAT)
>
>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>4500 UDP порты на этот роутер, или я не прав?Не совсем. Нормальный нат все и так понимает.
Что попробовать то мешает?У меня, например, было только 2 случая (из нескольких сотен точек подключения), когда Cisco VPN client (по UDP) у мобильного клиента не работал...Один, где то в Словакии, второй где то в Турции...
>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>>в UDP для хождения через NAT)
>
>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>4500 UDP порты на этот роутер, или я не прав?Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента, а "проброс порта" для пакетов которые возвращаются в ответ у провайдера произойдет автоматически, именно в этом и заключается суть NAT. Проверить без железа можно тем же Cisco VPN Client'ом, который использует NAT-T с теми же портами 500, 4500.
Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не замечено.
>[оверквотинг удален]
>>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>>4500 UDP порты на этот роутер, или я не прав?
>
>Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента,
>а "проброс порта" для пакетов которые возвращаются в ответ у провайдера
>произойдет автоматически, именно в этом и заключается суть NAT. Проверить без
>железа можно тем же Cisco VPN Client'ом, который использует NAT-T с
>теми же портами 500, 4500.
>Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не
>замечено.Хм, а как указывать peer в криптомапе тогда на 2800?
>Хм, а как указывать peer в криптомапе тогда на 2800?Для Cisco VPN Client читайте EzVPN (EasyVPN). Например:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...Для любой железки с NAT-T почитайте про crypto dynamic-map.
Ну, скорее ЭТО больше подходит:http://www.ciscolab.ru/2007/03/14/router_vpn_stick.html
Только без VPN-на-палочке....
Лень искать...Были нормальные описания...
Пусть начинает с этого, а специфику (передача клиенту только нужных сетей и т.д) уже потом...
>Для любой железки с NAT-T почитайте про crypto dynamic-map.Собрал по кусочкам из интернета и мануалов
Настройки на 2800:
!
crypto keyring spokes
pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp profile L2L
description LAN-to-LAN for spoke router connection
keyring spokes
match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmapНастройки на Linksys или D-link (например)
Local Secure Group: домашняя_сеть/24
Remote Secure Group: корпоративная_сеть/16
Remote Secure Gateway: внешний_IP_cisco_2800
и галочка NAT-Tпри таком конфиге не совсем понятно как 2800 определяет какие сети ей шифровать и заворачивать в IPSec туннель
>>Для любой железки с NAT-T почитайте про crypto dynamic-map.
>
>Собрал по кусочкам из интернета и мануаловВот ведь упрямый человек ;)
Говорят ему - есть стандартное, провереное решение для удаленных пользователей...Нет....Он что то "по кусочкам" собирает ;) И длинки мучает....
Кодовое слово Cisco VPN Client.
Если нет желания искать - вот вариант альтернативы:
http://habrahabr.ru/blogs/infosecurity/71077/
Сам не пробовал....Не изобретайте велосипед ;)
Точнее - Изобретайте, но САМОСТОЯТЕЛЬНО.
>Нет....Он что то "по кусочкам" собирает ;) И длинки мучает....
>
>Кодовое слово Cisco VPN Client.
>Если нет желания искать - вот вариант альтернативы:
>http://habrahabr.ru/blogs/infosecurity/71077/
>Сам не пробовал....Ткните носом, как Cisco VPN Client соединит домашнюю сетку /24 в которой кроме самого копьютера ещё кучка устройств, с корпоративной сетью. Тем более речь идет о железном устройстве, а не о комьютере.
>crypto dynamic-map dynmap 10
>set transform-set myset
>set isakmp-profile L2L
>при таком конфиге не совсем понятно как 2800 определяет какие сети ей
>шифровать и заворачивать в IPSec туннельпод "crypto dynamic-map dynmap 10"
match address VPN_ACLip access-list extended VPN_ACL
permit ip <home_lan> <wildcard_mask> <office_lan> <wildcard_mask>
Прошу прощения, office_lan и home_lan в ACL перепутал местами.
>Прошу прощения, office_lan и home_lan в ACL перепутал местами.Не нужно только привязываться к "home_lan".... Они - любые...
crypto isakmp client configuration group %GROUP%
key %KEY%
pool %POOL%
acl EasyVPN
include-local-lan
netmask 255.255.255.0ip access-list extended EasyVPN
permit ip %Office_net_addr% 0.0.0.255 any
permit ip %Office2_net_addr% 0.0.0.255 anyЭти сети появятся в винде с роутом в ВПН. Остальное - по дефолтному маршруту.
Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через машину сотрудника с vpn-соединением не подойдёт?
>Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через
>машину сотрудника с vpn-соединением не подойдёт?Вариан с nat-ится не подходит
>>Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через
>>машину сотрудника с vpn-соединением не подойдёт?
>
>Вариан с nat-ится не подходитКак вариант можно поставить самую простую железку 851 с опцией nem extended. Как извращенный вариант поднять Dynamips с нужным IOS и отстроиться от него с опцией nem extended :))