URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20165
[ Назад ]

Исходное сообщение
"VPN"
Отправлено GnomS , 04-Дек-09 10:58

Привет всем жителям форума. Возникла потребность поднять VPN соединение между производственной сетью и домашним компом. В наличии есть 2621XM с NATом ISO 12.3 IPBASE. Через нее ходит почта. Текущий конфиг прилагаю. Подскажите как можно осуществить задуманное применить VPDN или через IPSec надежнее. Желательно с примером. Заранее прошу не плюваться и сильно не ругаться т.к. пока учусь.
Собственно конфиг кошки:
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 2621
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password 7
!
clock timezone MSK 3
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip bootp server
ip name-server DNS1_provaider
ip name-server DNS2_provaider
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 192.168.55.2 255.255.255.248
ip nat inside
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
ip address x1.y1.z1.s1 255.255.255.0
ip access-group 102 in
ip nat outside
speed auto
full-duplex
no cdp enable
no mop enabled
!
ip nat translation tcp-timeout 60
ip nat translation udp-timeout 60
ip nat inside source list 101 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.55.5 25 x1.y1.z1.s1 25 extendable
ip nat inside source static udp 192.168.55.1 53 x1.y1.z1.s1 53 extendable
ip classless
ip route 0.0.0.0 0.0.0.0 GW_provaider
no ip http server
!
access-list 101 permit tcp host 192.168.55.5 any eq smtp log
access-list 101 permit udp host 192.168.55.1 any eq domain log
access-list 101 permit udp any any eq ntp log
access-list 101 permit icmp any any log
access-list 101 deny   ip any any log
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip any 0.0.0.255 255.255.255.0
access-list 102 deny   ip any 0.0.0.0 255.255.255.0
access-list 102 permit tcp any any established
access-list 102 permit tcp any any eq smtp log
access-list 102 permit tcp any any eq domain log
access-list 102 permit udp any any eq domain log
access-list 102 permit udp any any eq ntp log
access-list 102 permit icmp any any log
access-list 102 deny   ip any any log
no cdp run
!
line con 0
line aux 0
line vty 0 4
password 7
login
!
ntp clock-period 17180296
ntp server 62.117.76.142
!
!
end

Содержание

VPN,Александр, 11:03 , 04-Дек-09
- VPN,GnomS, 11:12 , 04-Дек-09
  - VPN,GnomS, 11:13 , 04-Дек-09
    - VPN,Denismy, 13:36 , 04-Дек-09
      - VPN,GnomS, 14:02 , 04-Дек-09
        
        VPN,j_vw, 21:50 , 04-Дек-09
        
        VPN,GnomS, 13:11 , 10-Дек-09

Сообщения в этом обсуждении

"VPN"
Отправлено Александр , 04-Дек-09 11:03

>[оверквотинг удален]
>line aux 0
>line vty 0 4
> password 7
> login
>!
>ntp clock-period 17180296
>ntp server 62.117.76.142
>!
>!
>end
для начала вам нужно сменить прошивку на адвансед
смотрите по fn

"VPN"
Отправлено GnomS , 04-Дек-09 11:12

>[оверквотинг удален]
>> login
>>!
>>ntp clock-period 17180296
>>ntp server 62.117.76.142
>>!
>>!
>>end
>
>для начала вам нужно сменить прошивку на адвансед
>смотрите по fn
а через VPND не пойдет? вроде бы в моей есть такая команда. Или это не безопастно?

"VPN"
Отправлено GnomS , 04-Дек-09 11:13

>[оверквотинг удален]
>>>ntp server 62.117.76.142
>>>!
>>>!
>>>end
>>
>>для начала вам нужно сменить прошивку на адвансед
>>смотрите по fn
>
>а через VPND не пойдет? вроде бы в моей есть такая команда.
>Или это не безопастно?
вернее через VPDN

"VPN"
Отправлено Denismy , 04-Дек-09 13:36

>вернее через VPDN
будет пита того (это без шифрования)
ip dhcp pool POOL_ADM
   network yyy.yyy.yyy.0 255.255.255.0
vpdn enable
vpdn-group ADM
accept-dialin
  protocol pptp
  virtual-template 1
source-ip xxx.xxx.xxx.xxx
l2tp tunnel receive-window 1024
interface FastEthernet0/0 - внешний интерфейс
ip address xxx.xxx.xxx.xxx 255.255.255.xxx
interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip pim sparse-dense-mode
peer default ip address dhcp-pool POOL_ADM
ppp authentication ms-chap-v2

"VPN"
Отправлено GnomS , 04-Дек-09 14:02

>[оверквотинг удален]
> l2tp tunnel receive-window 1024
>
>interface FastEthernet0/0 - внешний интерфейс
> ip address xxx.xxx.xxx.xxx 255.255.255.xxx
>
>interface Virtual-Template1
> ip unnumbered FastEthernet0/0
> ip pim sparse-dense-mode
> peer default ip address dhcp-pool POOL_ADM
> ppp authentication ms-chap-v2
а что бы с шифрованием - нужно менять IOS? Так получается ? или можно как-то

"VPN"
Отправлено j_vw , 04-Дек-09 21:50

>
>а что бы с шифрованием - нужно менять IOS? Так получается ?
>или можно как-то
IMHO, поменяйте IOS
http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=li...
Там есть рабочие ссылки ;)
И поставьте на домашний комп Cis VPN Client.

"VPN"
Отправлено GnomS , 10-Дек-09 13:11

Спасибо за инфу. Залил c2600-advsecurityk9-mz.123-26. Это последнее что можно залить на мою железку (как я понял). Подскажите как лучше настроить теперь VPN с индентификацией на RADIUS сервере. Внутри сети есть сервер Win2008R2 с установленной на нем ролью NPS. Там в частности есть и RADIUS сервер. Сам пока не пробовал с ним работать. Заранее спасибо.