Привет всем жителям форума. Возникла потребность поднять VPN соединение между производственной сетью и домашним компом. В наличии есть 2621XM с NATом ISO 12.3 IPBASE. Через нее ходит почта. Текущий конфиг прилагаю. Подскажите как можно осуществить задуманное применить VPDN или через IPSec надежнее. Желательно с примером. Заранее прошу не плюваться и сильно не ругаться т.к. пока учусь.Собственно конфиг кошки:
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 2621
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password 7
!
clock timezone MSK 3
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip bootp serverip name-server DNS1_provaider
ip name-server DNS2_provaider
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 192.168.55.2 255.255.255.248
ip nat inside
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
ip address x1.y1.z1.s1 255.255.255.0
ip access-group 102 in
ip nat outside
speed auto
full-duplex
no cdp enable
no mop enabled
!
ip nat translation tcp-timeout 60
ip nat translation udp-timeout 60
ip nat inside source list 101 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.55.5 25 x1.y1.z1.s1 25 extendable
ip nat inside source static udp 192.168.55.1 53 x1.y1.z1.s1 53 extendableip classless
ip route 0.0.0.0 0.0.0.0 GW_provaider
no ip http server
!
access-list 101 permit tcp host 192.168.55.5 any eq smtp log
access-list 101 permit udp host 192.168.55.1 any eq domain log
access-list 101 permit udp any any eq ntp log
access-list 101 permit icmp any any log
access-list 101 deny ip any any log
access-list 102 deny ip 127.0.0.0 0.255.255.255 any
access-list 102 deny ip 10.0.0.0 0.255.255.255 any
access-list 102 deny ip 172.16.0.0 0.15.255.255 any
access-list 102 deny ip 192.168.0.0 0.0.255.255 any
access-list 102 deny ip any 0.0.0.255 255.255.255.0
access-list 102 deny ip any 0.0.0.0 255.255.255.0
access-list 102 permit tcp any any established
access-list 102 permit tcp any any eq smtp log
access-list 102 permit tcp any any eq domain log
access-list 102 permit udp any any eq domain log
access-list 102 permit udp any any eq ntp log
access-list 102 permit icmp any any log
access-list 102 deny ip any any log
no cdp run
!
line con 0
line aux 0
line vty 0 4
password 7
login
!
ntp clock-period 17180296
ntp server 62.117.76.142
!
!
end
>[оверквотинг удален]
>line aux 0
>line vty 0 4
> password 7
> login
>!
>ntp clock-period 17180296
>ntp server 62.117.76.142
>!
>!
>endдля начала вам нужно сменить прошивку на адвансед
смотрите по fn
>[оверквотинг удален]
>> login
>>!
>>ntp clock-period 17180296
>>ntp server 62.117.76.142
>>!
>>!
>>end
>
>для начала вам нужно сменить прошивку на адвансед
>смотрите по fnа через VPND не пойдет? вроде бы в моей есть такая команда. Или это не безопастно?
>[оверквотинг удален]
>>>ntp server 62.117.76.142
>>>!
>>>!
>>>end
>>
>>для начала вам нужно сменить прошивку на адвансед
>>смотрите по fn
>
>а через VPND не пойдет? вроде бы в моей есть такая команда.
>Или это не безопастно?вернее через VPDN
>вернее через VPDNбудет пита того (это без шифрования)
ip dhcp pool POOL_ADM
network yyy.yyy.yyy.0 255.255.255.0vpdn enable
vpdn-group ADM
accept-dialin
protocol pptp
virtual-template 1
source-ip xxx.xxx.xxx.xxx
l2tp tunnel receive-window 1024interface FastEthernet0/0 - внешний интерфейс
ip address xxx.xxx.xxx.xxx 255.255.255.xxxinterface Virtual-Template1
ip unnumbered FastEthernet0/0
ip pim sparse-dense-mode
peer default ip address dhcp-pool POOL_ADM
ppp authentication ms-chap-v2
>[оверквотинг удален]
> l2tp tunnel receive-window 1024
>
>interface FastEthernet0/0 - внешний интерфейс
> ip address xxx.xxx.xxx.xxx 255.255.255.xxx
>
>interface Virtual-Template1
> ip unnumbered FastEthernet0/0
> ip pim sparse-dense-mode
> peer default ip address dhcp-pool POOL_ADM
> ppp authentication ms-chap-v2а что бы с шифрованием - нужно менять IOS? Так получается ? или можно как-то
>
>а что бы с шифрованием - нужно менять IOS? Так получается ?
>или можно как-тоIMHO, поменяйте IOS
http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=li...Там есть рабочие ссылки ;)
И поставьте на домашний комп Cis VPN Client.
Спасибо за инфу. Залил c2600-advsecurityk9-mz.123-26. Это последнее что можно залить на мою железку (как я понял). Подскажите как лучше настроить теперь VPN с индентификацией на RADIUS сервере. Внутри сети есть сервер Win2008R2 с установленной на нем ролью NPS. Там в частности есть и RADIUS сервер. Сам пока не пробовал с ним работать. Заранее спасибо.