>А можно по русски разжевать что, куда, и как? IPSec VPN + Cisco VPN Client на машине
Настраиваешь VPN сервер на кошке, что-то типа этого (используем PreSharedKey):
!
hostname Cisco820
!
!
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default if-needed group radius local
aaa authorization exec default local
aaa authorization network groupauthor local
aaa session-id common
ip subnet-zero
no ip domain lookup
ip domain name xxx.ru
ip name-server 192.168.5.1
!
ip cef
ip flow-cache timeout active 5
!
username xxx privilege 15
!
!
!
!
crypto isakmp policy 3
encr 3des
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN_client_Secret_Group
key Very_Secret_Group_Key
dns 192.168.5.17 192.168.5.34
wins 192.168.5.17
domain xxx.ru
pool ippool
acl 108
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set security-association lifetime kilobytes 46080
set security-association lifetime seconds 10800
set transform-set myset
!
!
crypto map clientmap client authentication list userauthen
crypto map clientmap isakmp authorization list groupauthor
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
bridge irb
!
!
interface Null0
no ip unreachables
!
interface Ethernet0
ip address 192.168.5.254 255.255.255.0
ip nat inside
ip route-cache flow
no cdp enable
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
bridge-group 1
pvc 8/35
!
!
interface BVI1
ip address xxx.xxx.xxx.xxx 255.255.255.224
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip route-cache flow
crypto map clientmap
!
ip local pool ippool 192.168.6.1 192.168.6.20
ip nat inside source list NAT interface BVI1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.97 permanent
ip http server
ip http authentication local
no ip http secure-server
ip flow-export source Ethernet0
ip flow-export version 5
ip flow-export destination 192.168.5.1 9996
!
!
ip access-list extended NAT
deny ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
permit ip 192.168.5.1 0.0.0.255 any
deny ip any any
!
access-list 108 permit ip 192.168.5.0 0.0.0.255 192.168.6.0 0.0.0.255
no cdp run
!
bridge 1 protocol ieee
bridge 1 route ip
!
line con 0
exec-timeout 120 0
stopbits 1
line vty 0 4
exec-timeout 120 0
length 0
transport input all
transport output all
!
end
Данный пример показывает типовую настройку IPSec VPN
ACL 108 определяет какие маршруты будут назначены на клиенте (split routing)
Ставишь клиент, настраиваешь свой адрес, группу и групповой пароль, коннектишься. Логин и пароль локальные кошкины.
Ссылка на SDM постом выше - это ссылка на приложение которое упрощяет в какой-то мере настройку основных функций маршрутизатора.
Да, потребуется IOS с поддержкой IPSEC и 3DES