Anticisco
https://anticisco.ru/forum/

Настройка VPN Server на router 2921
https://anticisco.ru/forum/viewtopic.php?f=8&t=2191
Страница 1 из 1

Автор:  1319 [ 30 авг 2011, 19:38 ]
Заголовок сообщения:  Настройка VPN Server на router 2921

Привет Всем! Нужна помощь по настройке VPN в одну из сетей.
Схемку сети прилагаю.
NAT поднял все ОК из обоих сетей и VPN на внутреннем сервере за NAT
Статики на порту WAN у меня нет соединение PPPOE а статика вешается провайдером на мое соединение.

Задача поднять сервис VPN самой циски и разрешить подключение к сети 192.168.3.0
Вопросы как создать соединение из вне -? как правильно прикрутить внешний ИП.
Как указать куда пробрасывать клиента VPN в нужную сеть.
Ну если не трудно черкните нужные строки в мой конфиг.
Код:
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
 ip pmtu
 ip mtu adjust
!
username vpnuser1 password 7 xxxx
username vpnuser2 password 7 xxxx
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.909
 encapsulation dot1Q 909
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1
 ip address 192.168.2.10 255.255.255.0
 ip access-group OUTLAN1 in
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 ip address 192.168.3.1 255.255.255.0
 ip access-group OUTLAN2 in
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip virtual-reassembly in
 peer default ip address pool VPN1
 no keepalive
 ppp encrypt mppe auto
 ppp authentication chap eap ms-chap ms-chap-v2
!
interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname xxxxxx
 ppp chap password yyyyyy
 no cdp enable
!
!
ip local pool VPN1 192.168.3.101 192.168.3.150
!
!
ip nat pool WANPOOL <<внеш ip>> <<внеш ip>> netmask 255.255.255.0
ip nat inside source list 10 pool WANPOOL overload
ip nat inside source static tcp 192.168.2.8 1723 <<внеш ip>> 1723 extendable
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended OUTLAN1
 permit tcp any any established
 permit ip host 192.168.2.8 any
 
ip access-list extended OUTLAN2
 permit tcp any any established
 permit ip host 192.168.3.8 any
!
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.3.0 0.0.0.255
dialer-list 1 protocol ip permit


Вложения:
[Расширение jpg было запрещено, вложение больше недоступно.]

Автор:  Fedia [ 01 сен 2011, 09:00 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Я правильно понимаю, что вы хотите из инета цепляться при помощи
cisco easy vpn client

Тогда надо про это почитать и потом настроить:
Код:
ip access-list ex SPLIT
  permit ip 192.168.3.0 0.0.0.255 any
!
crypto isakmp clint conf group {GROUP}
  pre-shared-key {KEY}
  address-pool {POOL}
  dns {SERVER}
  acl {SPLIT}
!
crypto isakmp policy 10
  encr aes
  gr 2
!
cry ipsec transform AESSHA esp-aes esp-sha-hmac
!
cry dynamic-map DYN 10
  set transform AESSHA
!
aaa authen login VPN local
aaa author network VPN local
!
cry map MAP 10 ipsec-isa dynamic DYN
!
cry map MAP client conf addr respond
cry map MAP isakmp author list VPN
cry map MAP client authen list VPN
!
int {ВНЕШНИЙ}
  cry map MAP

Автор:  1319 [ 01 сен 2011, 09:08 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Я сегодня почти сделал - немного нужно дописать ПОМОГИТЕ

interface Virtual-Template1
ip unnumbered Dialer1 - адрес серый(динамический) назначается провайдером
peer default ip address pool VPN1
no keepalive
ppp encrypt mppe auto
ppp authentication chap eap ms-chap ms-chap-v2

Вот в чем смысл что если вбить этот серый адрес то все ОК соединяемся.(Из винды создаю VPN соединение)
Но как заставить интерфейс слушать "Белый адрес" выданный мне провайдером? как его повесить?
пробовал ip address 195.xxx.xxxx.xxxx (маску ХЗ какую вешать делал 24) -не соединяется.

Автор:  Fedia [ 01 сен 2011, 09:17 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Так, тогда забудьте, что я написал. Я думал вы будете настраивать человеческий IPSec.

Про виндовый РРТР не подскажу - я не спец. Его не использую по ряду причин.

Из общих соображения: а к чему прицепляется белый адрес? Может на него делать ip unnumbered?

Автор:  1319 [ 01 сен 2011, 09:18 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Это следующий будет этап, сначала от простого - к сложному

Автор:  1319 [ 01 сен 2011, 09:57 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Fedia писал(а):
Из общих соображения: а к чему прицепляется белый адрес? Может на него делать ip unnumbered?


Так вот в чем и вопрос как этот интерфейс заставить слушать определенный адрес.
Если я убираю привязку к Dialler1 то он вообще ничего не слушает получается

Автор:  Fedia [ 02 сен 2011, 10:20 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Но глобальный адрес на di1 вешается?

sh ip int di1
чего кажет?

ЗЫ Для меня Easy NPN гораздо проще и работает надежно :)

Автор:  1319 [ 02 сен 2011, 10:32 ]
Заголовок сообщения:  Re: Настройка VPN Server на router 2921

Fedia писал(а):
Но глобальный адрес на di1 вешается?

sh ip int di1
чего кажет?
Да там какой то динамический провайдерский



Но я уже решил так

Код:
interface Virtual-Template1
 ip unnumbered GigabitEthernet0/2
 peer default ip address pool VPN
 no keepalive
 ppp mtu adaptive
 ppp encrypt mppe 128
 ppp authentication ms-chap-v2


gi/2 имеет адрес той сети в которую мне надо

Код:
ip nat inside source static 192.168.3.1 {ИП внешний белый} extendable


пул адресов из сети gi0/2
Код:
ip local pool VPN 192.168.3.10 192.168.3.100


И все заработало ! Всем спасибо за помощь.

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/