Здравствуйте. Помогите пожалуйста настроить VPN.
Суть проблемы такова. Имеется trendnet BW100-BRV204, заменил её на Cisco 871.
Поднял PPPoE, настроил что бы люди в инет ходили и HTTP сервер чтобы фунциклировал.
Осталась только проблемка, шеф из дома выходит на работу через виндовый VPN. На тренднете работает всё замечательно (VPN сервер), там настраивается легко.
Здесь много примеров конфигураций, но ничего не написано про то как поднять сам VPN, куда его завязывать (на какой интерфейс:dialer или fa4), как аутентификацию поднимать, как юзеров прописать. Книги нет в инете с описанием VPN. В офисе внешнйи адрес статический, дома динамический.
Вот конфиг.
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname adsl
!
boot-start-marker
boot-end-marker
!
enable secret 5 ********************
enable password enable
!
no aaa new-model
!
!
!
!
ip cef
!
!
!
!
ip inspect name internet http timeout 3600
ip inspect name internet icmp
ip inspect name internet ftp timeout 3600
ip inspect name internet tcp timeout 3600
ip inspect name internet h323 timeout 3600
ip inspect name internet smtp timeout 3600
ip inspect name internet udp timeout 15
ip inspect name incom http timeout 3600
!
multilink bundle-name authenticated
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
ip address 192.168.5.11 255.255.255.0
ip nat inside
ip inspect incom in
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
bandwidth 512
ip address negotiated
ip mtu 1452
ip nat outside
ip inspect incom in
ip inspect internet out
ip virtual-reassembly
encapsulation ppp
loopback
dialer pool 1
dialer-group 1
keepalive 20
ppp authentication pap callin
ppp pap sent-username USER password 0 PASSWORD
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 0.0.0.0 0.0.0.0 192.168.5.4
ip route 192.168.5.0 255.255.255.0 Vlan1 permanent
!
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.5.4 80 91.143.62.160 80 extendable
!
access-list 100 permit ip 192.168.5.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password ******
login
!
scheduler max-task-time 5000!
webvpn cef
end
Про грабли:
1. это убрать
ip route 0.0.0.0 0.0.0.0 192.168.5.4
ip route 192.168.5.0 255.255.255.0 Vlan1 permanent
2. Ограничте достыпы по vty и включите SSHМожно поднять классический PPTP
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
pptp tunnel echo 10
ip pmtu
ip mtu adjustasync-bootp dns-server (your DNSservers)
interface Virtual-Template1
ip unnumbered vlan1
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address dhcp-pool DHCP-home
ppp authentication ms-chap ms-chap-v2ip dhcp pool DHCP-home
network 10.255.0.0 255.255.255.0
dns-server 91.196.148.3 91.196.148.4
default-router 10.255.0.1Можно вместо dhcp-pool использовать просто любой созданный пул или ИП.
юзера добавлять с привилегией 0 и обязательно использовать password для задания пароля, c secret не подключиться
Пример:
username login privilege 0 password 0 password
а в каком месте указывается что VPN будет слушаться на FE4? Или оно должно работать как изнутри так и снаружи? Как проверить-то?
ip unnumbered vlan1 - что означает эта строчка?
> а в каком месте указывается что VPN будет слушаться на FE4? Или
> оно должно работать как изнутри так и снаружи? Как проверить-то?
> ip unnumbered vlan1 - что означает эта строчка?еще забыл добавить vpdn enable.
> ip unnumbered vlan1 - что означает эта строчка?
Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.
>> а в каком месте указывается что VPN будет слушаться на FE4? Или
>> оно должно работать как изнутри так и снаружи? Как проверить-то?
>> ip unnumbered vlan1 - что означает эта строчка?
> еще забыл добавить vpdn enable.
>> ip unnumbered vlan1 - что означает эта строчка?
> Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.проверить telnet IP(Lan or WAN) 1723
>>> а в каком месте указывается что VPN будет слушаться на FE4? Или
>>> оно должно работать как изнутри так и снаружи? Как проверить-то?
>>> ip unnumbered vlan1 - что означает эта строчка?
>> еще забыл добавить vpdn enable.
>>> ip unnumbered vlan1 - что означает эта строчка?
>> Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.
> проверить telnet IP(Lan or WAN) 1723adsl#telnet 91.143.62.160 1723
Trying 91.143.62.160, 1723 ... Open
>>>> а в каком месте указывается что VPN будет слушаться на FE4? Или
>>>> оно должно работать как изнутри так и снаружи? Как проверить-то?
>>>> ip unnumbered vlan1 - что означает эта строчка?
>>> еще забыл добавить vpdn enable.
>>>> ip unnumbered vlan1 - что означает эта строчка?
>>> Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.
>> проверить telnet IP(Lan or WAN) 1723
> adsl#telnet 91.143.62.160 1723
> Trying 91.143.62.160, 1723 ... OpenВсё, пашет, спасибо. Ещё бы всё это понять что куда.
Ткните пожалуйста где можно про VPN почитать цисковский, желательно на отечественном языке.
>> а в каком месте указывается что VPN будет слушаться на FE4? Или
>> оно должно работать как изнутри так и снаружи? Как проверить-то?
>> ip unnumbered vlan1 - что означает эта строчка?
> еще забыл добавить vpdn enable.
>> ip unnumbered vlan1 - что означает эта строчка?
> Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname adsl
!
boot-start-marker
boot-end-marker
!
enable secret 5 ***********************
enable password enable
!
no aaa new-model
!
!
!
!
ip cef
!
!
no ip dhcp use vrf connected
!
ip dhcp pool DHCP-home
network 10.255.0.0 255.255.255.0
default-router 10.255.0.1
dns-server 192.168.5.50
!
!
ip inspect name internet http timeout 3600
ip inspect name internet icmp
ip inspect name internet ftp timeout 3600
ip inspect name internet tcp timeout 3600
ip inspect name internet h323 timeout 3600
ip inspect name internet smtp timeout 3600
ip inspect name internet udp timeout 15
ip inspect name IN http timeout 3600
!
multilink bundle-name authenticated
vpdn enable
!
vpdn-group VPNDT-PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
pptp tunnel echo 10
ip pmtu
ip mtu adjust
!
!
!
username ***** privilege 0 password 0 ********
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address dhcp-pool DHCP-home
ppp authentication ms-chap ms-chap-v2
!
interface Vlan1
ip address 192.168.5.11 255.255.255.0
ip nat inside
ip inspect IN in
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
bandwidth 512
ip address negotiated
ip mtu 1452
ip nat outside
ip inspect IN in
ip inspect internet out
ip virtual-reassembly
encapsulation ppp
loopback
dialer pool 1
dialer-group 1
keepalive 20
ppp authentication pap callin
ppp pap sent-username **** password 0 *********
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 0.0.0.0 0.0.0.0 192.168.5.4
ip route 192.168.5.0 255.255.255.0 Vlan1 permanent
!
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 192.168.5.4 80 91.143.62.160 80 extendable
!
access-list 100 permit ip 192.168.5.0 0.0.0.255 any
dialer-list 1 protocol ip permit
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
password ******
login
!
scheduler max-task-time 5000!
webvpn cef
endВот что получилось. Всё верно? Ну кроме граблей конечно.
если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во вне не проходят.
> если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во
> вне не проходят.А про эту строчку я ничего и не говорил ;)
Насчет литературы не подскажу практически все буржуйское.
>> если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во
>> вне не проходят.
> А про эту строчку я ничего и не говорил ;)
> Насчет литературы не подскажу практически все буржуйское.Пардон, не то удалил.
А вы не подскажите, как организовать loopback? За циской на vlan1 находится сервер с Apache через этот же сервер через прокси ходят юзеры в инет. Дк вот, юзеры не могут зайти на сайт, т.е. сервер не может зайти сам на себя.
>>> если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во
>>> вне не проходят.
>> А про эту строчку я ничего и не говорил ;)
>> Насчет литературы не подскажу практически все буржуйское.
> Пардон, не то удалил.
> А вы не подскажите, как организовать loopback? За циской на vlan1 находится
> сервер с Apache через этот же сервер через прокси ходят юзеры
> в инет. Дк вот, юзеры не могут зайти на сайт, т.е.
> сервер не может зайти сам на себя.циска не может зайти сама на себя из внутренней сети через внешнюю опять во внутрь :)
делать можно несколькими способами
1. Прописать у юзеров в LMHOSTS конкретно днс имя сайта и прибить внутренний ИП.
2. Поднять ДНС с внутренней зоной.
3. Настроить ДНС на циско сделать форвард всего на внешние ДНС а вот ваш сайт прописать типа:
ip host cisco.com 1.1.1.1 ! :)) как-то вот так
ip dns serverпринимаю пожертвования в Вебмани :)
>[оверквотинг удален]
> опять во внутрь :)
> делать можно несколькими способами
> 1. Прописать у юзеров в LMHOSTS конкретно днс имя сайта и прибить
> внутренний ИП.
> 2. Поднять ДНС с внутренней зоной.
> 3. Настроить ДНС на циско сделать форвард всего на внешние ДНС а
> вот ваш сайт прописать типа:
> ip host cisco.com 1.1.1.1 ! :)) как-то вот так
> ip dns server
> принимаю пожертвования в Вебмани :)Ещё вопросик можно? Что теперь прописать чтобы ВПН клиенты могли ходить в сеть в 192.168.5.0?
Я DHCP сделал из той же сети, т.е. адрес клиент получает из 192.168.5.0ip dhcp pool DHCP-home
network 192.168.5.0 255.255.255.0
default-router 192.168.5.11
dns-server 192.168.5.50
Всё работает, всё пингуется. Николай, спасибо большое. С меня пиво.
Остался вопрос, как трафик зашифровать? Почему я могу подключиться только если снять галочку "требуется шифрование данных"?
На Trendnet маршрутизаторе данные шифровались.Всё разобралася. На virtual-template1 добавил ppp enc mppe auto
> Всё работает, всё пингуется. Николай, спасибо большое. С меня пиво.
> Остался вопрос, как трафик зашифровать? Почему я могу подключиться только если снять
> галочку "требуется шифрование данных"?
> На Trendnet маршрутизаторе данные шифровались.
> Всё разобралася. На virtual-template1 добавил ppp enc mppe autoМожно аналогично построить под Microsoft L2TP tunnel но нафига заморачиваться :) я привел наиболее простой и распостраненный вариант.
>> Всё работает, всё пингуется. Николай, спасибо большое. С меня пиво.
>> Остался вопрос, как трафик зашифровать? Почему я могу подключиться только если снять
>> галочку "требуется шифрование данных"?
>> На Trendnet маршрутизаторе данные шифровались.
>> Всё разобралася. На virtual-template1 добавил ppp enc mppe auto
> Можно аналогично построить под Microsoft L2TP tunnel но нафига заморачиваться :) я
> привел наиболее простой и распостраненный вариант.В данный момент меня всё устраивает, т.е. я заменил полностью Trendnet маршрутизатор и теперь нет необходимости беспокоить ген. директора и ехать к нему домой.
Меня ещё интересует такая вещь, как DHCP. Планирую подключить к этой циске настоящую локальную сеть, а не та что сейчас поключена, фактически это сервера со второй сетевой и имеющие альтернативные адреса, отличные от адресации сети предприятия (так надёжней было).
В связи с этим, меня интересует вопрос - почему Vlan1 раздает адреса из своей сети? Т.е. сепрвер получил автоматом адрес 192.168.5.8, хотя я его исключил. А клиенты VPN исправно получают адреса начиная с 192.168.5.11...no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.5.1 192.168.5.10
!
ip dhcp pool DHCP-home
network 192.168.5.0 255.255.255.0
default-router 192.168.5.11
dns-server 192.168.5.50