Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 06-Мрт-14, 12:26 [смотреть все]Доброго всем дня! Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести Cisco 2911 + к нему модуль SM-ES3G-24-P. Все это еще в пути, железок на столе еще нет, но и времени тоже нет. Вопрос: Мне нужно поднять на нем VPN (например PPTP) и настроить доступ ко всем подсетям которые подключены к портам циски (к SM-ES3G-24-P). Я раньше это проворачивал на FreeBSD, но тут малость все по другому =) как сделать VPN - я инфу вроде нашел... . Хотя как это окажется на деле, понятно - не знаю, но приготовиться к приезду циски надо. Потом, как маршрутизировать ip адрес, который будет получать пользователь при создании VPN соединения, в другие сети (более 5 разных подсетей)? Не кидайтесь в меня помидорами или кидайтесь, но прошу, помогите кто чем может - а я в долгу не останусь, обещаю! Если кто-то сможет написать пример на основе пусть 2-х подсетей к примеру - я буду безмерно благодарен, а так же просто отсылу на уже существующие статьи в интернете. Вот такая просьба полного профана по цискам. С уважением, Алексей.
|
- Поднять VPN на 2911 + SM-ES3G-24-P, ShyLion, 14:54 , 07-Мрт-14 (1) +1
aaa new-model ! aaa group server radius LAN_RADIUS server-private 10.х.х.х auth-port 1812 acct-port 1813 key 0 key server-private 10.y.y.y auth-port 1812 acct-port 1813 key 0 key ip radius source-interface Loopback0 ! aaa authentication ppp VPN local group LAN_RADIUS aaa authorization network VPN local group LAN_RADIUS aaa accounting network VPN action-type start-stop group LAN_RADIUS ! vpdn enable ! vpdn-group L2TP ! Default L2TP VPDN group description l2tp group accept-dialin protocol l2tp virtual-template 1 no l2tp tunnel authentication ! vpdn-group PPTP ! Default PPTP VPDN group description PPTP accept-dialin protocol pptp virtual-template 1 l2tp tunnel timeout no-session 15 ! username ppptest privilege 0 password 0 parol-dlya-testa ! crypto keyring L2TP_IPSec pre-shared-key address 0.0.0.0 0.0.0.0 key KLYUCHIK ! no crypto xauth GigabitEthernet0/0 no crypto isakmp default policy ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 ! crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac mode transport ! crypto dynamic-map L2TP_IPSec 1 set nat demux set transform-set 3DES_SHA_tr ! crypto map OUTSIDE 65535 ipsec-isakmp dynamic L2TP_IPSec ! interface Loopback0 ip address 10.z.z.z 255.255.255.255 ! interface GigabitEthernet0/0 ip address внешний ... crypto map OUTSIDE ! ! interface Virtual-Template1 description PPP template mtu 1300 ip unnumbered Loopback0 no ip redirects ip tcp adjust-mss 1260 peer default ip address pool pool_general no snmp trap link-status no keepalive ppp encrypt mppe 128 ppp authentication ms-chap-v2 callin VPN ppp authorization VPN ppp accounting VPN ppp timeout retry 10 ! ip local pool pool_general 10.a.b.c 10.a.b.d !В таком виде работает ГОДЫ PPTP, L2TP, L2TP/IPSec. Ключи, адреса, радиус - по вкусу. Насчет роутинга не очень понятен вопрос. Кроме Кисы будут еще маршрутизаторы в сети?
- Поднять VPN на 2911 + SM-ES3G-24-P, ShyLion, 15:00 , 07-Мрт-14 (2)
> Доброго всем дня! > Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести > Cisco 2911 + к нему модуль SM-ES3G-24-PЛицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?
- Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 15:38 , 07-Мрт-14 (3)
>> Доброго всем дня! >> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести >> Cisco 2911 + к нему модуль SM-ES3G-24-P > Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?Спасибо большое за конфиг. Я правда еще не научился понимать как его продублировать в циску (не видя конкретные команды в консоли)=) но с этим позже думаю разберусь. Покупался как есть, если лицензии не входят то, видимо, нет. А без лицензии обычный VPN (PPTP) поднять нельзя? По маршрутизации. В установленный в циску модуль SM-ES3G-24-P будут воткнуты куча разных подсетей (одна подсеть на свой порт в модуле), и пользователь посредствам VPN соединения должен иметь доступ к ним. На FreeBSD я натил через IPFW, наверное и тут надо так делать, хотя мне где-то ответили (на такую же формулировку вопроса) так, что я до сих пор не проглотил "Через reverse-route injection и далее редистрибуция внутрь IGP"
- Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 14:20 , 12-Мрт-14 (4)
>> Доброго всем дня! >> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести >> Cisco 2911 + к нему модуль SM-ES3G-24-P > Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?ShyLion, еще один вопрос, Есть два офиса. Если есть один VNP сервер на FreeBSD, я же по сути могу использовать циску сквозняком... без его VPN. Например у сервера VPN на фре 6 сетевых карт, к 5ти подключены одни подсети - в одном офисе, а 6-ой порт включен к выделенной линии (VPN на уровне провайдера) объединяющей два офиса. И в другом офисе стоит циска (с подключенными к ней подсетями) и просто выполняет роль роутера, обеспечивая доступ к подсетям VPN клиентов с FreeBSD. Тогда и геморой с лицензиями отпадает.
|