форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"VPN Cisco 871"	+/–
Сообщение от sysadm (??) on 14-Сен-11, 14:03
Есть работающий VPN сервер для  "административного" доступа из вне  к Lan на Cisco 871 (Easy VPN Server, авторизация локальная). Появилась  потребность  организовать  доступ для некоторых мобильных пользователей (не более 5 человек)к внутренней почте. (Linux, Dovecot, Postfix). Можно  ли средствами  маршрутизатора  реализовать правила (этому можно доступ ТОЛЬКО к 192.168.1.1  25, 110, 143 порт), а этот получает доступ ко всем ресурсам  сети. Конечно, можно установить на Linux тот же OpenVPN "прокинуть" на роутере  порт 1194, по моему, и наверное всё будет  работать... Но можно ли эту задачу  решить только  средствами маршрутизатора? Сделать несколько  configuration group выдавать разные ip подсети  и фильтровать? Или как то по другому? Заранее спасибо за советы....
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "VPN Cisco 871"	+/–
Сообщение от Николай_kv on 14-Сен-11, 15:39
>[оверквотинг удален] > 5 человек)к внутренней почте. (Linux, Dovecot, Postfix). Можно  ли средствами >  маршрутизатора  реализовать правила (этому можно доступ ТОЛЬКО к 192.168.1.1 >  25, 110, 143 порт), а этот получает доступ ко всем > ресурсам  сети. > Конечно, можно установить на Linux тот же OpenVPN "прокинуть" на роутере   > порт 1194, по моему, и наверное всё будет  работать... > Но можно ли эту задачу  решить только  средствами маршрутизатора? > Сделать несколько  configuration group выдавать разные ip подсети  и фильтровать? > Или как то по другому? > Заранее спасибо за советы.... Easy VPN Server + различные профили для различных задач.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "VPN Cisco 871"	+/–
	Сообщение от sysadm (??) on 14-Сен-11, 16:27
	> Easy VPN Server + различные профили для различных задач. Можно  чуть поподробней как это в профилях настраивается (ограничение к хосту, сети протоколу, через Access list?) Вот моя часть конфига относящаяся к VPN: interface Virtual-Template3 type tunnel ip unnumbered FastEthernet4 tunnel mode ipsec ipv4 tunnel protection ipsec profile ipsec_profile crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group group1 key xxxxxxxxxxxxx dns xx wins xxx domain xxxxx pool vpnpool acl 105 include-local-lan netmask 255.255.255.0 crypto isakmp profile kmp_profile    match identity group group1    client authentication list vpn    isakmp authorization list vpn_group    client configuration address initiate    client configuration address respond    virtual-template 3 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto ipsec profile ipsec_profile set transform-set myset set isakmp-profile kmp_profile ! ! crypto dynamic-map dynmap 10 set transform-set myset reverse-route ! ! crypto map clientmap client authentication list vpn crypto map clientmap isakmp authorization list vpn_group crypto map clientmap client configuration address respond crypto map clientmap 10 ipsec-isakmp dynamic dynmap ! access-list 105 permit ip 192.168.10.0 0.0.0.255 192.168.5.0 0.0.0.255 #192.168.5.0 -подсеть клиентов VPN Нужно создать несколько client configuration group, crypto isakmp profile, crypto ipsec profile ipsec_profile? Как настроить доступ через access-list? access-list привязывать к client configuration group ?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема