forum.opennet.ru - "ppptp на CISCO" (4)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"ppptp на CISCO"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"ppptp на CISCO"
Сообщение от harlan (ok) on 09-Авг-04, 10:32 (MSK)
Досталось мне в наследство CISCO 2610. Я хочу поднять на ней pptp сервер (для пропуска клиентов "наружу"), авторизация через RADIUS. Но, беда в том, что с CISCO я практически не общался. В связи с этим несколько вопросов: 1. Пните в нужном направлении, где можно почитать про то, как настроить pptp сервер на CISCO (Сильно желательно на русском языке). 2. Возможно ли на CISCO увязать pptp и NAT? 3. Как оборвать сессию клиента, если у него кончился лимит трафика? 4. Возможно ли заставить CISCO считать только "внешний" трафик (который не попадает под определённые подсетки?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

ppptp на CISCO, Citrin, 14:09 , 09-Авг-04, (1)
- ppptp на CISCO, harlan, 08:19 , 10-Авг-04, (2)
  - ppptp на CISCO, Citrin, 09:43 , 10-Авг-04, (3)
    - ppptp на CISCO, harlan, 11:55 , 10-Авг-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ppptp на CISCO"

Сообщение от Citrin (ok) on 09-Авг-04, 14:09  (MSK)

>Досталось мне в наследство CISCO 2610. Я хочу поднять на ней pptp
>сервер (для пропуска клиентов "наружу"), авторизация через RADIUS. Но, беда в
>том, что с CISCO я практически не общался. В связи с
>этим несколько вопросов:
>1. Пните в нужном направлении, где можно почитать про то, как настроить
>pptp сервер на CISCO (Сильно желательно на русском языке).
Доки по настройке pptp на циске тольео на английском. На цискоюком все есть. Для начала можно поискать что нибуть про протокол pptp на русском.

>2. Возможно ли на CISCO увязать pptp и NAT?
Да
>3. Как оборвать сессию клиента, если у него кончился лимит трафика?
По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB
>4. Возможно ли заставить CISCO считать только "внешний" трафик (который не попадает
>под определённые подсетки?
Нет. На радиус будеть отсылаться информация о всем трафике. Если хочешь локальный трафик сделать нетарифицируемым он не должен попадать в тунель.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "ppptp на CISCO"

Сообщение от harlan (ok) on 10-Авг-04, 08:19  (MSK)

>Доки по настройке pptp на циске тольео на английском. На цискоюком все
>есть. Для начала можно поискать что нибуть про протокол pptp на
>русском.
>
Спасибо! Уже читаю.
На nag.ru Нашел кой-какую информацию.
>>3. Как оборвать сессию клиента, если у него кончился лимит трафика?
>По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его
>поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB
>
Ок. Попробуем.
Ещё пара вопросов:
А если часть клиентов имеют "прямое" подключение, а часть - через pptp.
Как в таком случае поступать? Настраивать файрволл на CISCO?
Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP) серверу во-вне (а то в линуксе имелись определённые проблемы)?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "ppptp на CISCO"

Сообщение от Citrin (ok) on 10-Авг-04, 09:43  (MSK)

>Ещё пара вопросов:
>А если часть клиентов имеют "прямое" подключение, а часть - через pptp.
>
>Как в таком случае поступать? Настраивать файрволл на CISCO?
Если они в разных подсетях, то не вижу никаких сложностей. Серый адреса все равно на внешнем интерфейсе должны быть зафильтрованы, я те кто с прямым подключением я так понимаю имеют реальные адреса.
>Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP)
>серверу во-вне (а то в линуксе имелись определённые проблемы)?
Через NAT? Врядли...

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "ppptp на CISCO"

Сообщение от harlan (ok) on 10-Авг-04, 11:55  (MSK)

Сейчас у меня схема такая:
Локальная сеть подключена к интернет через линуксовый шлюз. Клиенты в локальной сети делятся на три категории:
1. Клиенты работающие через pptp (большинство). Работают через NAT.
2. Клиенты подключенные напрямую и имеющие белый адрес (те, кому нужен белый адрес (имеют веб-серверы, etc.)
3. Клиенты подключенные напрямую и имеющие серый адрес (белый адрес им не нужен, но они, имея win98 должны подключаться к VPN серверу вне моей сети, а как поднять VPN над VPN в Win98 - загадка). Кроме того, количество белых адресов у меня сильно ограничено, так что раздавать их всем подряд - не вижу смысла.
Соответственно для 2 случая пакеты просто роутятся, а для 1 и 3 - применяется NAT.
Но с реализацией GRE через NAT в Линуксе определённые проблемы - в каждый момент времени только один клиент из моей сетки может подключиться _Т_О_Л_Ь_К_О__О_Д_И_Н__К_Л_И_Е_Н_Т_ (лечится наложением patch-o-matic)
Хотелось бы перенести роутер с линукса на CISCO с минимальными изменениями в структуре сети. Возможно ли сделать то, что я описал.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ppptp на CISCO"
Сообщение от Citrin (ok) on 09-Авг-04, 14:09 (MSK)
>Досталось мне в наследство CISCO 2610. Я хочу поднять на ней pptp >сервер (для пропуска клиентов "наружу"), авторизация через RADIUS. Но, беда в >том, что с CISCO я практически не общался. В связи с >этим несколько вопросов: >1. Пните в нужном направлении, где можно почитать про то, как настроить >pptp сервер на CISCO (Сильно желательно на русском языке). Доки по настройке pptp на циске тольео на английском. На цискоюком все есть. Для начала можно поискать что нибуть про протокол pptp на русском. >2. Возможно ли на CISCO увязать pptp и NAT? Да >3. Как оборвать сессию клиента, если у него кончился лимит трафика? По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB >4. Возможно ли заставить CISCO считать только "внешний" трафик (который не попадает >под определённые подсетки? Нет. На радиус будеть отсылаться информация о всем трафике. Если хочешь локальный трафик сделать нетарифицируемым он не должен попадать в тунель.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "ppptp на CISCO"
	Сообщение от harlan (ok) on 10-Авг-04, 08:19 (MSK)
	>Доки по настройке pptp на циске тольео на английском. На цискоюком все >есть. Для начала можно поискать что нибуть про протокол pptp на >русском. > Спасибо! Уже читаю. На nag.ru Нашел кой-какую информацию. >>3. Как оборвать сессию клиента, если у него кончился лимит трафика? >По snmp. AAA-SESSION-MIB, но проблема в том, что не все ИОСы его >поддерживают. Можно попробовать сбрасывать не сессию а интерфейс, через OLD-CISCO-SYS-MIB > Ок. Попробуем. Ещё пара вопросов: А если часть клиентов имеют "прямое" подключение, а часть - через pptp. Как в таком случае поступать? Настраивать файрволл на CISCO? Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP) серверу во-вне (а то в линуксе имелись определённые проблемы)?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "ppptp на CISCO"
	Сообщение от Citrin (ok) on 10-Авг-04, 09:43 (MSK)
	>Ещё пара вопросов: >А если часть клиентов имеют "прямое" подключение, а часть - через pptp. > >Как в таком случае поступать? Настраивать файрволл на CISCO? Если они в разных подсетях, то не вижу никаких сложностей. Серый адреса все равно на внешнем интерфейсе должны быть зафильтрованы, я те кто с прямым подключением я так понимаю имеют реальные адреса. >Могут ли несколько клиентов имеющих "серый" адрес коннектиться к одному VPN (PoPToP) >серверу во-вне (а то в линуксе имелись определённые проблемы)? Через NAT? Врядли...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "ppptp на CISCO"
	Сообщение от harlan (ok) on 10-Авг-04, 11:55 (MSK)
	Сейчас у меня схема такая: Локальная сеть подключена к интернет через линуксовый шлюз. Клиенты в локальной сети делятся на три категории: 1. Клиенты работающие через pptp (большинство). Работают через NAT. 2. Клиенты подключенные напрямую и имеющие белый адрес (те, кому нужен белый адрес (имеют веб-серверы, etc.) 3. Клиенты подключенные напрямую и имеющие серый адрес (белый адрес им не нужен, но они, имея win98 должны подключаться к VPN серверу вне моей сети, а как поднять VPN над VPN в Win98 - загадка). Кроме того, количество белых адресов у меня сильно ограничено, так что раздавать их всем подряд - не вижу смысла. Соответственно для 2 случая пакеты просто роутятся, а для 1 и 3 - применяется NAT. Но с реализацией GRE через NAT в Линуксе определённые проблемы - в каждый момент времени только один клиент из моей сетки может подключиться _Т_О_Л_Ь_К_О__О_Д_И_Н__К_Л_И_Е_Н_Т_ (лечится наложением patch-o-matic) Хотелось бы перенести роутер с линукса на CISCO с минимальными изменениями в структуре сети. Возможно ли сделать то, что я описал.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх