 Поднять VPN на 2911 + SM-ES3G-24-P,  Oscbam, 06-Мрт-14, 12:26 [смотреть все]Доброго всем дня! Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести Cisco 2911 + к нему модуль SM-ES3G-24-P. Все это еще в пути, железок на столе еще нет, но и времени тоже нет.
Вопрос:
Мне нужно поднять на нем VPN (например PPTP) и настроить доступ ко всем подсетям которые подключены к портам циски (к SM-ES3G-24-P). Я раньше это проворачивал на FreeBSD, но тут малость все по другому =) как сделать VPN - я инфу вроде нашел... . Хотя как это окажется на деле, понятно - не знаю, но приготовиться к приезду циски надо. Потом, как маршрутизировать ip адрес, который будет получать пользователь при создании VPN соединения, в другие сети (более 5 разных подсетей)? Не кидайтесь в меня помидорами или кидайтесь, но прошу, помогите кто чем может - а я в долгу не останусь, обещаю! Если кто-то сможет написать пример на основе пусть 2-х подсетей к примеру - я буду безмерно благодарен, а так же просто отсылу на уже существующие статьи в интернете.
Вот такая просьба полного профана по цискам. С уважением,
Алексей.
|
- Поднять VPN на 2911 + SM-ES3G-24-P, ShyLion, 14:54 , 07-Мрт-14 (1) +1
aaa new-model
!
aaa group server radius LAN_RADIUS
server-private 10.х.х.х auth-port 1812 acct-port 1813 key 0 key
server-private 10.y.y.y auth-port 1812 acct-port 1813 key 0 key
ip radius source-interface Loopback0
!
aaa authentication ppp VPN local group LAN_RADIUS
aaa authorization network VPN local group LAN_RADIUS
aaa accounting network VPN
action-type start-stop
group LAN_RADIUS
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
description l2tp group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
vpdn-group PPTP
! Default PPTP VPDN group
description PPTP
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
username ppptest privilege 0 password 0 parol-dlya-testa
!
crypto keyring L2TP_IPSec
pre-shared-key address 0.0.0.0 0.0.0.0 key KLYUCHIK
!
no crypto xauth GigabitEthernet0/0
no crypto isakmp default policy
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map L2TP_IPSec 1
set nat demux
set transform-set 3DES_SHA_tr
!
crypto map OUTSIDE 65535 ipsec-isakmp dynamic L2TP_IPSec
!
interface Loopback0
ip address 10.z.z.z 255.255.255.255
!
interface GigabitEthernet0/0
ip address внешний
...
crypto map OUTSIDE
!
!
interface Virtual-Template1
description PPP template
mtu 1300
ip unnumbered Loopback0
no ip redirects
ip tcp adjust-mss 1260
peer default ip address pool pool_general
no snmp trap link-status
no keepalive
ppp encrypt mppe 128
ppp authentication ms-chap-v2 callin VPN
ppp authorization VPN
ppp accounting VPN
ppp timeout retry 10
!
ip local pool pool_general 10.a.b.c 10.a.b.d
!В таком виде работает ГОДЫ PPTP, L2TP, L2TP/IPSec.
Ключи, адреса, радиус - по вкусу.
Насчет роутинга не очень понятен вопрос. Кроме Кисы будут еще маршрутизаторы в сети?
- Поднять VPN на 2911 + SM-ES3G-24-P, ShyLion, 15:00 , 07-Мрт-14 (2)
> Доброго всем дня!
> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
> Cisco 2911 + к нему модуль SM-ES3G-24-PЛицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?
- Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 15:38 , 07-Мрт-14 (3)
>> Доброго всем дня!
>> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
>> Cisco 2911 + к нему модуль SM-ES3G-24-P
> Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?Спасибо большое за конфиг. Я правда еще не научился понимать как его продублировать в циску (не видя конкретные команды в консоли)=) но с этим позже думаю разберусь.
Покупался как есть, если лицензии не входят то, видимо, нет. А без лицензии обычный VPN (PPTP) поднять нельзя?
По маршрутизации. В установленный в циску модуль SM-ES3G-24-P будут воткнуты куча разных подсетей (одна подсеть на свой порт в модуле), и пользователь посредствам VPN соединения должен иметь доступ к ним. На FreeBSD я натил через IPFW, наверное и тут надо так делать, хотя мне где-то ответили (на такую же формулировку вопроса) так, что я до сих пор не проглотил "Через reverse-route injection и далее редистрибуция внутрь IGP"
- Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 14:20 , 12-Мрт-14 (4)
>> Доброго всем дня!
>> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
>> Cisco 2911 + к нему модуль SM-ES3G-24-P
> Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?ShyLion, еще один вопрос, Есть два офиса. Если есть один VNP сервер на FreeBSD, я же по сути могу использовать циску сквозняком... без его VPN. Например у сервера VPN на фре 6 сетевых карт, к 5ти подключены одни подсети - в одном офисе, а 6-ой порт включен к выделенной линии (VPN на уровне провайдера) объединяющей два офиса. И в другом офисе стоит циска (с подключенными к ней подсетями) и просто выполняет роль роутера, обеспечивая доступ к подсетям VPN клиентов с FreeBSD.
Тогда и геморой с лицензиями отпадает.
|
Версия для распечатки
