forum.opennet.ru

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

ppptp на CISCO, harlan (ok), 09-Авг-04, (0) [смотреть все]

Доки по настройке pptp на циске тольео на английском На цискоюком все есть Для, Citrin (ok), 14:09 , 09-Авг-04, (1) //

Спасибо Уже читаю На nag ru Нашел кой-какую информацию Ок Попробуем Ещё пара в, harlan (ok), 08:19 , 10-Авг-04, (2) //

Если они в разных подсетях, то не вижу никаких сложностей Серый адреса все равн, Citrin (ok), 09:43 , 10-Авг-04, (3) //

Сейчас у меня схема такая Локальная сеть подключена к интернет через линуксовый , harlan (ok), 11:55 , 10-Авг-04, (4)

Сообщения [Сортировка по времени | RSS]

1. "ppptp на CISCO" +/–

Сообщение от Citrin (ok), 09-Авг-04, 14:09

>Досталось мне в наследство CISCO 2610. Я хочу поднять на ней pptp
>сервер (для пропуска клиентов "наружу"), авторизация через RADIUS. Но, беда в
>том, что с CISCO я практически не общался. В связи с
>этим несколько вопросов:
>1. Пните в нужном направлении, где можно почитать про то, как настроить
>pptp сервер на CISCO (Сильно желательно на русском языке).
Доки по настройке pptp на циске тольео на английском. На цискоюком все есть. Для начала можно поискать что нибуть про протокол pptp на русском.

>2. Возможно ли на CISCO увязать pptp и NAT?
Да
>3. Как оборвать сессию клиента, если у него кончился лимит трафика?
По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB
>4. Возможно ли заставить CISCO считать только "внешний" трафик (который не попадает
>под определённые подсетки?
Нет. На радиус будеть отсылаться информация о всем трафике. Если хочешь локальный трафик сделать нетарифицируемым он не должен попадать в тунель.

Ответить | Правка | Наверх | Cообщить модератору

2. "ppptp на CISCO" +/–

Сообщение от harlan (ok), 10-Авг-04, 08:19

>Доки по настройке pptp на циске тольео на английском. На цискоюком все
>есть. Для начала можно поискать что нибуть про протокол pptp на
>русском.
>
Спасибо! Уже читаю.
На nag.ru Нашел кой-какую информацию.
>>3. Как оборвать сессию клиента, если у него кончился лимит трафика?
>По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его
>поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB
>
Ок. Попробуем.
Ещё пара вопросов:
А если часть клиентов имеют "прямое" подключение, а часть - через pptp.
Как в таком случае поступать? Настраивать файрволл на CISCO?
Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP) серверу во-вне (а то в линуксе имелись определённые проблемы)?

Ответить | Правка | Наверх | Cообщить модератору

3. "ppptp на CISCO" +/–

Сообщение от Citrin (ok), 10-Авг-04, 09:43

>Ещё пара вопросов:
>А если часть клиентов имеют "прямое" подключение, а часть - через pptp.
>
>Как в таком случае поступать? Настраивать файрволл на CISCO?
Если они в разных подсетях, то не вижу никаких сложностей. Серый адреса все равно на внешнем интерфейсе должны быть зафильтрованы, я те кто с прямым подключением я так понимаю имеют реальные адреса.
>Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP)
>серверу во-вне (а то в линуксе имелись определённые проблемы)?
Через NAT? Врядли...

Ответить | Правка | Наверх | Cообщить модератору

4. "ppptp на CISCO" +/–

Сообщение от harlan (ok), 10-Авг-04, 11:55

Сейчас у меня схема такая:
Локальная сеть подключена к интернет через линуксовый шлюз. Клиенты в локальной сети делятся на три категории:
1. Клиенты работающие через pptp (большинство). Работают через NAT.
2. Клиенты подключенные напрямую и имеющие белый адрес (те, кому нужен белый адрес (имеют веб-серверы, etc.)
3. Клиенты подключенные напрямую и имеющие серый адрес (белый адрес им не нужен, но они, имея win98 должны подключаться к VPN серверу вне моей сети, а как поднять VPN над VPN в Win98 - загадка). Кроме того, количество белых адресов у меня сильно ограничено, так что раздавать их всем подряд - не вижу смысла.
Соответственно для 2 случая пакеты просто роутятся, а для 1 и 3 - применяется NAT.
Но с реализацией GRE через NAT в Линуксе определённые проблемы - в каждый момент времени только один клиент из моей сетки может подключиться _Т_О_Л_Ь_К_О__О_Д_И_Н__К_Л_И_Е_Н_Т_ (лечится наложением patch-o-matic)
Хотелось бы перенести роутер с линукса на CISCO с минимальными изменениями в структуре сети. Возможно ли сделать то, что я описал.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ppptp на CISCO"	+/–
Сообщение от Citrin (ok), 09-Авг-04, 14:09
>Досталось мне в наследство CISCO 2610. Я хочу поднять на ней pptp >сервер (для пропуска клиентов "наружу"), авторизация через RADIUS. Но, беда в >том, что с CISCO я практически не общался. В связи с >этим несколько вопросов: >1. Пните в нужном направлении, где можно почитать про то, как настроить >pptp сервер на CISCO (Сильно желательно на русском языке). Доки по настройке pptp на циске тольео на английском. На цискоюком все есть. Для начала можно поискать что нибуть про протокол pptp на русском. >2. Возможно ли на CISCO увязать pptp и NAT? Да >3. Как оборвать сессию клиента, если у него кончился лимит трафика? По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB >4. Возможно ли заставить CISCO считать только "внешний" трафик (который не попадает >под определённые подсетки? Нет. На радиус будеть отсылаться информация о всем трафике. Если хочешь локальный трафик сделать нетарифицируемым он не должен попадать в тунель.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "ppptp на CISCO"	+/–
	Сообщение от harlan (ok), 10-Авг-04, 08:19
	>Доки по настройке pptp на циске тольео на английском. На цискоюком все >есть. Для начала можно поискать что нибуть про протокол pptp на >русском. > Спасибо! Уже читаю. На nag.ru Нашел кой-какую информацию. >>3. Как оборвать сессию клиента, если у него кончился лимит трафика? >По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его >поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB > Ок. Попробуем. Ещё пара вопросов: А если часть клиентов имеют "прямое" подключение, а часть - через pptp. Как в таком случае поступать? Настраивать файрволл на CISCO? Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP) серверу во-вне (а то в линуксе имелись определённые проблемы)?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "ppptp на CISCO"	+/–
	Сообщение от Citrin (ok), 10-Авг-04, 09:43
	>Ещё пара вопросов: >А если часть клиентов имеют "прямое" подключение, а часть - через pptp. > >Как в таком случае поступать? Настраивать файрволл на CISCO? Если они в разных подсетях, то не вижу никаких сложностей. Серый адреса все равно на внешнем интерфейсе должны быть зафильтрованы, я те кто с прямым подключением я так понимаю имеют реальные адреса. >Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP) >серверу во-вне (а то в линуксе имелись определённые проблемы)? Через NAT? Врядли...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "ppptp на CISCO"	+/–
	Сообщение от harlan (ok), 10-Авг-04, 11:55
	Сейчас у меня схема такая: Локальная сеть подключена к интернет через линуксовый шлюз. Клиенты в локальной сети делятся на три категории: 1. Клиенты работающие через pptp (большинство). Работают через NAT. 2. Клиенты подключенные напрямую и имеющие белый адрес (те, кому нужен белый адрес (имеют веб-серверы, etc.) 3. Клиенты подключенные напрямую и имеющие серый адрес (белый адрес им не нужен, но они, имея win98 должны подключаться к VPN серверу вне моей сети, а как поднять VPN над VPN в Win98 - загадка). Кроме того, количество белых адресов у меня сильно ограничено, так что раздавать их всем подряд - не вижу смысла. Соответственно для 2 случая пакеты просто роутятся, а для 1 и 3 - применяется NAT. Но с реализацией GRE через NAT в Линуксе определённые проблемы - в каждый момент времени только один клиент из моей сетки может подключиться _Т_О_Л_Ь_К_О__О_Д_И_Н__К_Л_И_Е_Н_Т_ (лечится наложением patch-o-matic) Хотелось бы перенести роутер с линукса на CISCO с минимальными изменениями в структуре сети. Возможно ли сделать то, что я описал.
	Ответить \| Правка \| Наверх \| Cообщить модератору