URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 7494
[ Назад ]

Исходное сообщение
"L2TP сервер пример?"

Отправлено Corhaid , 16-Мрт-05 01:34 
Кто-нибудь может дать пример настроек для L2TP сервера на базе Cisco (2600, 3725) IOS 12.3. C IPSec шифрованием, на Pre-Shared ключах. В качестве спортивного интереса можно и на сертификатах :) Подключаться планируется с Windows 2000, Windows XP.

Содержание

Сообщения в этом обсуждении
"L2TP сервер пример?"
Отправлено Олег , 16-Мрт-05 12:32 
Если для VPDN - есть конфиг для PIX-515E.
Когда-то игрался...

"L2TP сервер пример?"
Отправлено Corhaid , 17-Мрт-05 09:10 
>Если для VPDN - есть конфиг для PIX-515E.
>Когда-то игрался...

VPDN. Хоть 2600я и не PIX но глянуть было бы интересно


"L2TP сервер пример?"
Отправлено Олег , 17-Мрт-05 11:00 
>VPDN. Хоть 2600я и не PIX но глянуть было бы интересно
Да, CLI у них отличается.

access-list l2tp permit ip host 10.1.1.1 host 10.1.1.2

sysopt connection permit-ipsec
sysopt connection permit-l2tp

crypto ipsec transform-set l2tp1 ah-md5-hmac esp-3des
crypto ipsec transform-set l2tp2 ah-sha-hmac esp-3des esp-sha-hmac
crypto ipsec transform-set l2tp3 ah-md5-hmac esp-des esp-md5-hmac
crypto ipsec transform-set l2tp4 ah-sha-hmac esp-des esp-sha-hmac
crypto ipsec transform-set l2tp mode transport
crypto ipsec transform-set l2tp1 mode transport
crypto ipsec transform-set l2tp2 mode transport
crypto ipsec transform-set l2tp3 mode transport
crypto ipsec transform-set l2tp4 mode transport
crypto ipsec security-association lifetime seconds 3600

crypto dynamic-map l2tp_dyn 20 match address l2tp
crypto dynamic-map l2tp_dyn 20 set transform-set l2tp1 l2tp2 l2tp3 l2tp3
crypto map l2tp 10 ipsec-isakmp dynamic l2tp_dyn
crypto map l2tp interface dmz_isc

isakmp enable dmz_isc
isakmp key test address 10.1.1.2 netmask 255.255.255.255
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400

vpdn group 1 accept dialin l2tp
vpdn group 1 localname user
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local my-addr-pool
vpdn group 1 client configuration dns 10.1.1.20 10.1.1.3
vpdn group 1 client configuration wins 10.1.1.20 10.1.1.3
vpdn group 1 client authentication local
vpdn group 1 l2tp tunnel hello 60
vpdn username user password * store-local
vpdn enable dmz_isc

Ещё есть для PPTP, но это меннее защищённый вариант:

vpdn group 1 accept dialin pptp
vpdn group 1 localname user
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 128
vpdn group 1 client configuration address local my-addr-pool
vpdn group 1 client configuration dns 10.1.1.20 10.1.1.3
vpdn group 1 client configuration wins 10.1.1.20 10.1.1.3
vpdn group 1 pptp echo 60
vpdn group 1 client authentication local
vpdn username user password * store-local
vpdn enable dmz_isc

p.s. Описание my-addr-pool как простой пул адресов.


"L2TP сервер пример?"
Отправлено Corhaid , 18-Мрт-05 08:49 
>>VPDN. Хоть 2600я и не PIX но глянуть было бы интересно
>Да, CLI у них отличается.

Спасибо, поколдую с этим :)