forum.opennet.ru - "Cisco 2800 в качестве pptp VPN" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco 2800 в качестве pptp VPN"

Форумы Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco 2800 в качестве pptp VPN"		+/–
Сообщение от hvv (ok) on 27-Апр-09, 15:04
Помогите плиз... Никак не могу настроить VPN. Задача стоит следующая. Нужно на Cisco 2800 настроить pptp VPN таким образом чтобы он изнутри пускал наружу. То-есть пользователь из локальной сети логиниться на циску получает pptp-коннект с маршрутизируемым адресом и таким образом выходит в интернет. Для начала пользователи хронятся локально на самой циске. Пул адресов тоже один. Я взял для тестов локальную сеть 10.0.16.0/24 Проблема в следующем: Если я пингую клиенский хост который получил адрес скажем 10.0.16.15 то пинги проходят. А если я хочу пустить пинг с 10.0.16.15 куда-либо то пакеты долетают до шлюза 10.0.16.2 version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname VPN ! boot-start-marker boot-end-marker ! enable secret 5 $1$C.B/$mS ! aaa new-model ! ! aaa authentication ppp default local ! aaa session-id common ! resource policy ! ip subnet-zero ! ! ip cef no ip dhcp use vrf connected ! ! ip domain name xxxx.xx ip name-server xxx.xxx.xxx.xxx ip ssh version 2 no ip ips deny-action ips-interface vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 local name VPN ! ! no ftp-server write-enable ! ! ! ! ! ! ! ! ! ! ! ! ! ! username user secret 5 $1$TPdO$1 ! ! ! ! ! ! interface GigabitEthernet0/0 description LAN ip address xxx.xxx.xxx.xxx 255.255.255.0 duplex auto speed auto ! interface GigabitEthernet0/1 description WAN ip address 10.0.16.2 255.255.255.0 shutdown duplex auto speed auto ! interface Virtual-Template1 ip unnumbered GigabitEthernet0/1 ip mroute-cache peer default ip address pool VPN-IN ! ip local pool VPN 10.0.16.10 10.0.16.20 ip default-gateway xxx.xxx.xxx.xxx ip classless ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx ! ! no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 logging synchronous history size 256 transport preferred none transport input ssh line vty 5 15 logging synchronous history size 256 transport preferred none transport input ssh ! scheduler allocate 20000 1000 ! end
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco 2800 в качестве pptp VPN, AlexDv, 16:24 , 27-Апр-09, (1)

Cisco 2800 в качестве pptp VPN, denp, 18:48 , 27-Апр-09, (2)

Cisco 2800 в качестве pptp VPN, hvv, 22:22 , 27-Апр-09, (3)

Cisco 2800 в качестве pptp VPN, hvv, 07:40 , 04-Май-09, (4)

Cisco 2800 в качестве pptp VPN, Николай, 15:33 , 22-Май-09, (7)

Cisco 2800 в качестве pptp VPN, wwc, 16:03 , 20-Май-09, (5)

Cisco 2800 в качестве pptp VPN, klin, 14:28 , 22-Май-09, (6)
Cisco 2800 в качестве pptp VPN, Николай, 18:35 , 22-Май-09, (8)

Cisco 2800 в качестве pptp VPN, wwc, 11:51 , 25-Май-09, (9)

Cisco 2800 в качестве pptp VPN, dfx, 21:20 , 23-Мрт-10, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от AlexDv (??) on 27-Апр-09, 16:24

>[оверквотинг удален]
> shutdown
> duplex auto
> speed auto
>!
>interface Virtual-Template1
> ip unnumbered GigabitEthernet0/1
> ip mroute-cache
> peer default ip address pool VPN-IN
>!
>ip local pool VPN 10.0.16.10 10.0.16.20
Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от denp on 27-Апр-09, 18:48

>[оверквотинг удален]
>> speed auto
>>!
>>interface Virtual-Template1
>> ip unnumbered GigabitEthernet0/1
>> ip mroute-cache
>> peer default ip address pool VPN-IN
>>!
>>ip local pool VPN 10.0.16.10 10.0.16.20
>
>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.
interface Virtual-Template1
ip unnumbered GigabitEthernet0/1
И чего интерфейс GigabitEthernet0/1 в шатдауне?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от hvv (ok) on 27-Апр-09, 22:22

>[оверквотинг удален]
>>> peer default ip address pool VPN-IN
>>>!
>>>ip local pool VPN 10.0.16.10 10.0.16.20
>>
>>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.
>
>interface Virtual-Template1
>ip unnumbered GigabitEthernet0/1
>
>И чего интерфейс GigabitEthernet0/1 в шатдауне?
адреса серые взял просто для тестирования. как все отлажу подсуну пул с реальными.
интерфейс в дауне - это не верно... исправлю проверю как работать будет. о результатах отпишу.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от hvv (ok) on 04-Май-09, 07:40

>[оверквотинг удален]
>>interface Virtual-Template1
>>ip unnumbered GigabitEthernet0/1
>>
>>И чего интерфейс GigabitEthernet0/1 в шатдауне?
>
>адреса серые взял просто для тестирования. как все отлажу подсуну пул с
>реальными.
>
>интерфейс в дауне - это не верно... исправлю проверю как работать будет.
>о результатах отпишу.
все заработало. и даже внешние ip повесил.
единственное чего так и не удалось запинать - так это что бы разным польлзователям разные пулы выдовались.

кто-нибудь знает как это нарулить?
я делал так:
aaa new-model
!
!
aaa authentication ppp default local
!
aaa attribute list poolLAN
attribute type addr-pool "VPN-IN" service ppp protocol ip
username vvv secret 5 $1$TP
username user secret 5 $1$JC1
username user aaa attribute list poolLAN
ip local pool VPN-IN yyy.yyy.yyy.10 yyy.yyy.yyy.20
ip local pool TEST xxx.xxx.xxx.165 xxx.xxx.xxx.185

как видно из конфига по задумке юсер vvv должне ходить через пул TEST (он нарулен как дефолтный) а юсер user должен ходить через VPN-IN
однако user когда подключает vpn получает адрес из TEST
где чего не докрутил?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от Николай (??) on 22-Май-09, 15:33

>все заработало. и даже внешние ip повесил.
>единственное чего так и не удалось запинать - так это что бы
>разным польлзователям разные пулы выдовались.
Для этого поднять какой нить радиус сервер надо - штатными средствами циски никак.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от wwc on 20-Май-09, 16:03

Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный Вашему конфиг с доступом из интернета по VPN  к внутренней сети компании.
Заранее спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от klin (ok) on 22-Май-09, 14:28

>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный
>Вашему конфиг с доступом из интернета по VPN  к внутренней
>сети компании.
>
>Заранее спасибо.
То же самое, только
interface Virtual-Template1
ip unnumbered " LAN интерфейс "

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от Николай (??) on 22-Май-09, 18:35

>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный
>Вашему конфиг с доступом из интернета по VPN  к внутренней
>сети компании.
>
>Заранее спасибо.
Реализация для PPTP & L2TP
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
!
ip name-server СВОЙ
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 1
!
vpdn-group 2
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 2
lcp renegotiation on-mismatch
l2tp security crypto-profile L2TP
no l2tp tunnel authentication
ip pmtu
ip mtu adjust
async-bootp dns-server СВОЙ
async-bootp nbns-server СВОЙ
username СВОИ
crypto isakmp policy 100
hash md5
authentication pre-share
crypto isakmp key СВОЙ address 0.0.0.0 0.0.0.0
crypto ipsec transform-set L2TP esp-des esp-md5-hmac
mode transport
crypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set L2TP

interface Virtual-Template1
description For people who is connected on WiFi link
ip unnumbered СВОЙ
ip policy route-map TEST
ip mroute-cache
peer default ip address pool DIAL-WIFI
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
!
interface Virtual-Template2
ip unnumbered СВОЙ
ip nat inside
ip virtual-reassembly
ip mroute-cache
autodetect encapsulation ppp
peer default ip address pool DIAL-WIFI
ppp encrypt mppe auto required
ppp authentication ms-chap ms-chap-v2
interface VlanХХХ
интерфейс что смотрит в ИНЕТ
ip nat outside
ip virtual-reassembly
ntp disable
crypto map L2TP
crypto ipsec df-bit clear
ip local pool DIAL-WIFI 10.0.14.1 10.0.14.10

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от wwc (ok) on 25-Май-09, 11:51

Огромное спасибо....

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Cisco 2800 в качестве pptp VPN" +/–

Сообщение от dfx on 23-Мрт-10, 21:20

А не разъяснить ли кто следующее: насколько я понимаю, при поднятии vpn сервиса циска будет "слушать" подключения на всех своих интерфейсах? Если это так, то как заставить слушать только на конкретном интерфейсе? Или надо просто приклеить ко всем остальным ифейсам входящие acl с запретом tcp/1723 и gre?
Заранее спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco 2800 в качестве pptp VPN"		+/–
Сообщение от AlexDv (??) on 27-Апр-09, 16:24
>[оверквотинг удален] > shutdown > duplex auto > speed auto >! >interface Virtual-Template1 > ip unnumbered GigabitEthernet0/1 > ip mroute-cache > peer default ip address pool VPN-IN >! >ip local pool VPN 10.0.16.10 10.0.16.20 Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от denp on 27-Апр-09, 18:48
	>[оверквотинг удален] >> speed auto >>! >>interface Virtual-Template1 >> ip unnumbered GigabitEthernet0/1 >> ip mroute-cache >> peer default ip address pool VPN-IN >>! >>ip local pool VPN 10.0.16.10 10.0.16.20 > >Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT. interface Virtual-Template1 ip unnumbered GigabitEthernet0/1 И чего интерфейс GigabitEthernet0/1 в шатдауне?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от hvv (ok) on 27-Апр-09, 22:22
	>[оверквотинг удален] >>> peer default ip address pool VPN-IN >>>! >>>ip local pool VPN 10.0.16.10 10.0.16.20 >> >>Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT. > >interface Virtual-Template1 >ip unnumbered GigabitEthernet0/1 > >И чего интерфейс GigabitEthernet0/1 в шатдауне? адреса серые взял просто для тестирования. как все отлажу подсуну пул с реальными. интерфейс в дауне - это не верно... исправлю проверю как работать будет. о результатах отпишу.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от hvv (ok) on 04-Май-09, 07:40
	>[оверквотинг удален] >>interface Virtual-Template1 >>ip unnumbered GigabitEthernet0/1 >> >>И чего интерфейс GigabitEthernet0/1 в шатдауне? > >адреса серые взял просто для тестирования. как все отлажу подсуну пул с >реальными. > >интерфейс в дауне - это не верно... исправлю проверю как работать будет. >о результатах отпишу. все заработало. и даже внешние ip повесил. единственное чего так и не удалось запинать - так это что бы разным польлзователям разные пулы выдовались. кто-нибудь знает как это нарулить? я делал так: aaa new-model ! ! aaa authentication ppp default local ! aaa attribute list poolLAN attribute type addr-pool "VPN-IN" service ppp protocol ip username vvv secret 5 $1$TP username user secret 5 $1$JC1 username user aaa attribute list poolLAN ip local pool VPN-IN yyy.yyy.yyy.10 yyy.yyy.yyy.20 ip local pool TEST xxx.xxx.xxx.165 xxx.xxx.xxx.185 как видно из конфига по задумке юсер vvv должне ходить через пул TEST (он нарулен как дефолтный) а юсер user должен ходить через VPN-IN однако user когда подключает vpn получает адрес из TEST где чего не докрутил?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от Николай (??) on 22-Май-09, 15:33
	>все заработало. и даже внешние ip повесил. >единственное чего так и не удалось запинать - так это что бы >разным польлзователям разные пулы выдовались. Для этого поднять какой нить радиус сервер надо - штатными средствами циски никак.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

5. "Cisco 2800 в качестве pptp VPN"		+/–
Сообщение от wwc on 20-Май-09, 16:03
Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный Вашему конфиг с доступом из интернета по VPN к внутренней сети компании. Заранее спасибо.
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от klin (ok) on 22-Май-09, 14:28
	>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный >Вашему конфиг с доступом из интернета по VPN к внутренней >сети компании. > >Заранее спасибо. То же самое, только interface Virtual-Template1 ip unnumbered " LAN интерфейс "
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от Николай (??) on 22-Май-09, 18:35
	>Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный >Вашему конфиг с доступом из интернета по VPN к внутренней >сети компании. > >Заранее спасибо. Реализация для PPTP & L2TP aaa new-model ! ! aaa authentication login default local aaa authentication ppp default local ! ip name-server СВОЙ vpdn enable ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! vpdn-group 2 ! Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 2 lcp renegotiation on-mismatch l2tp security crypto-profile L2TP no l2tp tunnel authentication ip pmtu ip mtu adjust async-bootp dns-server СВОЙ async-bootp nbns-server СВОЙ username СВОИ crypto isakmp policy 100 hash md5 authentication pre-share crypto isakmp key СВОЙ address 0.0.0.0 0.0.0.0 crypto ipsec transform-set L2TP esp-des esp-md5-hmac mode transport crypto map L2TP 100 ipsec-isakmp profile L2TP set transform-set L2TP interface Virtual-Template1 description For people who is connected on WiFi link ip unnumbered СВОЙ ip policy route-map TEST ip mroute-cache peer default ip address pool DIAL-WIFI ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 ! interface Virtual-Template2 ip unnumbered СВОЙ ip nat inside ip virtual-reassembly ip mroute-cache autodetect encapsulation ppp peer default ip address pool DIAL-WIFI ppp encrypt mppe auto required ppp authentication ms-chap ms-chap-v2 interface VlanХХХ интерфейс что смотрит в ИНЕТ ip nat outside ip virtual-reassembly ntp disable crypto map L2TP crypto ipsec df-bit clear ip local pool DIAL-WIFI 10.0.14.1 10.0.14.10
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	9. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от wwc (ok) on 25-Май-09, 11:51
	Огромное спасибо....
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	10. "Cisco 2800 в качестве pptp VPN"		+/–
	Сообщение от dfx on 23-Мрт-10, 21:20
	А не разъяснить ли кто следующее: насколько я понимаю, при поднятии vpn сервиса циска будет "слушать" подключения на всех своих интерфейсах? Если это так, то как заставить слушать только на конкретном интерфейсе? Или надо просто приклеить ко всем остальным ифейсам входящие acl с запретом tcp/1723 и gre? Заранее спасибо.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору