Сообщения без ответов | Активные темы Текущее время: 22 окт 2018, 17:23



Ответить на тему  [ Сообщений: 8 ] 
Настройка VPN Server на router 2921 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Привет Всем! Нужна помощь по настройке VPN в одну из сетей.
Схемку сети прилагаю.
NAT поднял все ОК из обоих сетей и VPN на внутреннем сервере за NAT
Статики на порту WAN у меня нет соединение PPPOE а статика вешается провайдером на мое соединение.

Задача поднять сервис VPN самой циски и разрешить подключение к сети 192.168.3.0
Вопросы как создать соединение из вне -? как правильно прикрутить внешний ИП.
Как указать куда пробрасывать клиента VPN в нужную сеть.
Ну если не трудно черкните нужные строки в мой конфиг.
Код:
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
 ip pmtu
 ip mtu adjust
!
username vpnuser1 password 7 xxxx
username vpnuser2 password 7 xxxx
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.909
 encapsulation dot1Q 909
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1
 ip address 192.168.2.10 255.255.255.0
 ip access-group OUTLAN1 in
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 ip address 192.168.3.1 255.255.255.0
 ip access-group OUTLAN2 in
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip virtual-reassembly in
 peer default ip address pool VPN1
 no keepalive
 ppp encrypt mppe auto
 ppp authentication chap eap ms-chap ms-chap-v2
!
interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname xxxxxx
 ppp chap password yyyyyy
 no cdp enable
!
!
ip local pool VPN1 192.168.3.101 192.168.3.150
!
!
ip nat pool WANPOOL <<внеш ip>> <<внеш ip>> netmask 255.255.255.0
ip nat inside source list 10 pool WANPOOL overload
ip nat inside source static tcp 192.168.2.8 1723 <<внеш ip>> 1723 extendable
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended OUTLAN1
 permit tcp any any established
 permit ip host 192.168.2.8 any
 
ip access-list extended OUTLAN2
 permit tcp any any established
 permit ip host 192.168.3.8 any
!
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.3.0 0.0.0.255
dialer-list 1 protocol ip permit


Вложения:
[Расширение jpg было запрещено, вложение больше недоступно.]
30 авг 2011, 19:38
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Я правильно понимаю, что вы хотите из инета цепляться при помощи
cisco easy vpn client

Тогда надо про это почитать и потом настроить:
Код:
ip access-list ex SPLIT
  permit ip 192.168.3.0 0.0.0.255 any
!
crypto isakmp clint conf group {GROUP}
  pre-shared-key {KEY}
  address-pool {POOL}
  dns {SERVER}
  acl {SPLIT}
!
crypto isakmp policy 10
  encr aes
  gr 2
!
cry ipsec transform AESSHA esp-aes esp-sha-hmac
!
cry dynamic-map DYN 10
  set transform AESSHA
!
aaa authen login VPN local
aaa author network VPN local
!
cry map MAP 10 ipsec-isa dynamic DYN
!
cry map MAP client conf addr respond
cry map MAP isakmp author list VPN
cry map MAP client authen list VPN
!
int {ВНЕШНИЙ}
  cry map MAP


01 сен 2011, 09:00
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Я сегодня почти сделал - немного нужно дописать ПОМОГИТЕ

interface Virtual-Template1
ip unnumbered Dialer1 - адрес серый(динамический) назначается провайдером
peer default ip address pool VPN1
no keepalive
ppp encrypt mppe auto
ppp authentication chap eap ms-chap ms-chap-v2

Вот в чем смысл что если вбить этот серый адрес то все ОК соединяемся.(Из винды создаю VPN соединение)
Но как заставить интерфейс слушать "Белый адрес" выданный мне провайдером? как его повесить?
пробовал ip address 195.xxx.xxxx.xxxx (маску ХЗ какую вешать делал 24) -не соединяется.


01 сен 2011, 09:08
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Так, тогда забудьте, что я написал. Я думал вы будете настраивать человеческий IPSec.

Про виндовый РРТР не подскажу - я не спец. Его не использую по ряду причин.

Из общих соображения: а к чему прицепляется белый адрес? Может на него делать ip unnumbered?


01 сен 2011, 09:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Это следующий будет этап, сначала от простого - к сложному


01 сен 2011, 09:18
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Fedia писал(а):
Из общих соображения: а к чему прицепляется белый адрес? Может на него делать ip unnumbered?


Так вот в чем и вопрос как этот интерфейс заставить слушать определенный адрес.
Если я убираю привязку к Dialler1 то он вообще ничего не слушает получается


01 сен 2011, 09:57
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Но глобальный адрес на di1 вешается?

sh ip int di1
чего кажет?

ЗЫ Для меня Easy NPN гораздо проще и работает надежно :)


02 сен 2011, 10:20
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 15
Fedia писал(а):
Но глобальный адрес на di1 вешается?

sh ip int di1
чего кажет?
Да там какой то динамический провайдерский



Но я уже решил так

Код:
interface Virtual-Template1
 ip unnumbered GigabitEthernet0/2
 peer default ip address pool VPN
 no keepalive
 ppp mtu adaptive
 ppp encrypt mppe 128
 ppp authentication ms-chap-v2


gi/2 имеет адрес той сети в которую мне надо

Код:
ip nat inside source static 192.168.3.1 {ИП внешний белый} extendable


пул адресов из сети gi0/2
Код:
ip local pool VPN 192.168.3.10 192.168.3.100


И все заработало ! Всем спасибо за помощь.


02 сен 2011, 10:32
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 8 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB