Меню

Cisco pptp настройка 2911



Cisco pptp настройка 2911

Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести Cisco 2911 + к нему модуль SM-ES3G-24-P. Все это еще в пути, железок на столе еще нет, но и времени тоже нет.
Вопрос:
Мне нужно поднять на нем VPN (например PPTP) и настроить доступ ко всем подсетям которые подключены к портам циски (к SM-ES3G-24-P). Я раньше это проворачивал на FreeBSD, но тут малость все по другому =) как сделать VPN — я инфу вроде нашел. . Хотя как это окажется на деле, понятно — не знаю, но приготовиться к приезду циски надо. Потом, как маршрутизировать ip адрес, который будет получать пользователь при создании VPN соединения, в другие сети (более 5 разных подсетей)? Не кидайтесь в меня помидорами или кидайтесь, но прошу, помогите кто чем может — а я в долгу не останусь, обещаю! Если кто-то сможет написать пример на основе пусть 2-х подсетей к примеру — я буду безмерно благодарен, а так же просто отсылу на уже существующие статьи в интернете.
Вот такая просьба полного профана по цискам.

Ответить | Правка | Cообщить модератору

Оглавление

  • Поднять VPN на 2911 + SM-ES3G-24-P, ShyLion, 14:54 , 07-Мрт-14, (1) +1
  • Поднять VPN на 2911 + SM-ES3G-24-P, ShyLion, 15:00 , 07-Мрт-14, (2)
    • Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 15:38 , 07-Мрт-14, (3)
    • Поднять VPN на 2911 + SM-ES3G-24-P, Oscbam, 14:20 , 12-Мрт-14, (4)

Сообщения по теме [Сортировка по времени | RSS]

aaa new-model
!
aaa group server radius LAN_RADIUS
server-private 10.х.х.х auth-port 1812 acct-port 1813 key 0 key
server-private 10.y.y.y auth-port 1812 acct-port 1813 key 0 key
ip radius source-interface Loopback0
!
aaa authentication ppp VPN local group LAN_RADIUS
aaa authorization network VPN local group LAN_RADIUS
aaa accounting network VPN
action-type start-stop
group LAN_RADIUS
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
description l2tp group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
vpdn-group PPTP
! Default PPTP VPDN group
description PPTP
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
username ppptest privilege 0 password 0 parol-dlya-testa
!
crypto keyring L2TP_IPSec
pre-shared-key address 0.0.0.0 0.0.0.0 key KLYUCHIK
!
no crypto xauth GigabitEthernet0/0
no crypto isakmp default policy
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto ipsec transform-set 3DES_SHA_tr esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map L2TP_IPSec 1
set nat demux
set transform-set 3DES_SHA_tr
!
crypto map OUTSIDE 65535 ipsec-isakmp dynamic L2TP_IPSec
!
interface Loopback0
ip address 10.z.z.z 255.255.255.255
!
interface GigabitEthernet0/0
ip address внешний
.
crypto map OUTSIDE
!
!
interface Virtual-Template1
description PPP template
mtu 1300
ip unnumbered Loopback0
no ip redirects
ip tcp adjust-mss 1260
peer default ip address pool pool_general
no snmp trap link-status
no keepalive
ppp encrypt mppe 128
ppp authentication ms-chap-v2 callin VPN
ppp authorization VPN
ppp accounting VPN
ppp timeout retry 10
!
ip local pool pool_general 10.a.b.c 10.a.b.d
!

В таком виде работает ГОДЫ PPTP, L2TP, L2TP/IPSec.
Ключи, адреса, радиус — по вкусу.
Насчет роутинга не очень понятен вопрос. Кроме Кисы будут еще маршрутизаторы в сети?

1. «Поднять VPN на 2911 + SM-ES3G-24-P» +1 + / –
Сообщение от ShyLion (ok) on 07-Мрт-14, 14:54
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. «Поднять VPN на 2911 + SM-ES3G-24-P» + / –
Сообщение от ShyLion (ok) on 07-Мрт-14, 15:00

> Доброго всем дня!
> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
> Cisco 2911 + к нему модуль SM-ES3G-24-P

Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. «Поднять VPN на 2911 + SM-ES3G-24-P» + / –
Сообщение от Oscbam (ok) on 07-Мрт-14, 15:38

>> Доброго всем дня!
>> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
>> Cisco 2911 + к нему модуль SM-ES3G-24-P
> Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?

Спасибо большое за конфиг. Я правда еще не научился понимать как его продублировать в циску (не видя конкретные команды в консоли)=) но с этим позже думаю разберусь.
Покупался как есть, если лицензии не входят то, видимо, нет. А без лицензии обычный VPN (PPTP) поднять нельзя?
По маршрутизации. В установленный в циску модуль SM-ES3G-24-P будут воткнуты куча разных подсетей (одна подсеть на свой порт в модуле), и пользователь посредствам VPN соединения должен иметь доступ к ним. На FreeBSD я натил через IPFW, наверное и тут надо так делать, хотя мне где-то ответили (на такую же формулировку вопроса) так, что я до сих пор не проглотил «Через reverse-route injection и далее редистрибуция внутрь IGP»

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. «Поднять VPN на 2911 + SM-ES3G-24-P» + / –
Сообщение от Oscbam (ok) on 12-Мрт-14, 14:20

>> Доброго всем дня!
>> Раньше, преимущественно работал c FreeBSD, а тут нелегкая заставила приобрести
>> Cisco 2911 + к нему модуль SM-ES3G-24-P
> Лицензии на функционал SL-29-DATA-K9, SL-29-SEC-K9?

ShyLion, еще один вопрос, Есть два офиса. Если есть один VNP сервер на FreeBSD, я же по сути могу использовать циску сквозняком. без его VPN. Например у сервера VPN на фре 6 сетевых карт, к 5ти подключены одни подсети — в одном офисе, а 6-ой порт включен к выделенной линии (VPN на уровне провайдера) объединяющей два офиса. И в другом офисе стоит циска (с подключенными к ней подсетями) и просто выполняет роль роутера, обеспечивая доступ к подсетям VPN клиентов с FreeBSD.
Тогда и геморой с лицензиями отпадает.

Источник

Настройка маршрутизатора Cisco и VPN-клиентов с использованием PPTP и MPPE

Параметры загрузки

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в этом документе, касаются следующих версий программного обеспечения и оборудования:

Маршрутизатор Cisco 2621 с ПО Cisco IOS версии 12.2

Microsoft Windows 2000

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе в действующей сети необходимо понимать последствия выполнения любой команды.

Схема сети

В настоящем документе используется следующая схема сети:

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Конфигурация маршрутизатора PPTP

Эти команды IOS применимы ко всем платформам, поддерживающим протокол PPTP.

Маршрутизатор Cisco 2621

Конфигурация маршрутизатора с протоколами MPPE и MS-CHAP

Настройки и конфигурация VPN (PPTP) в Windows 2000

Выполните следующие действия:

Выберите Пуск > Настройки > Сеть и удаленный доступ к сети > Новое подключение.

В появившемся окне мастера подключений выберите Тип сетевого подключения, затем выберите Подключиться к частной сети через Интернет.

Выберите Набрать номер для следующего предварительного подключения.

В поле «Узел» или «IP-адрес» укажите адрес места назначения и нажмите Далее.

Выберите Пуск > Настройки > Сеть и удаленный доступ к сети, затем выберите соединение, которое только что было настроено.

При появлении следующего окна выберите Свойства > Безопасность для настройки параметров.

Выберите Дополнительно (настройки заказчика), затем выберите Настройки и укажите соответствующие типы шифрования (пункт «Шифрование данных») и аутентификации (разрешите эти протоколы).

В разделе «Сеть» (тип вызываемого VPN-сервера) выберите PPTP и нажмите OK.

Появится окно проверки имени пользователя и пароля.

Появится сообщение о выполнении регистрации компьютера в сети.

Появится окно «Свойства подключения».

В следующих окнах отображается состояние подключения.

Проверка

В данном разделе содержатся сведения для проверки работы текущей конфигурации.

Интерпретатор выходных данных (OIT), доступный только зарегистрированным заказчикам, поддерживает некоторые команды show. Посредством OIT можно анализировать выходные данные команд show.

show debug – отображает команды debug, разрешенные в данный момент, для диагностики.

show user – отображает список и состояние пользователей, работающих в системе в данный момент.

show ip route connected – отображает текущее состояние таблицы маршрутизации.

show vpdn – отображает информацию об активном туннеле с протоколом пересылки 2-го уровня (L2F) и идентификаторы сообщений в виртуальной частной коммутируемой сети (VPDN).

Ниже приведен пример выходных данных команды show debug.

Выходные данные отладки с начальной настройкой PPTP имеют следующий вид.

Выходные данные отладки с необходимой настройкой MPPE и MS-CHAP имеют следующий вид.

Выходные данные команды show user до включения MS-CHAP и MPPE имеют следующий вид.

Выходные данные команды show user после включения MS-CHAP и MPPE имеют следующий вид.

Выходные данные команды show ip route connected до включения MS-CHAP и MPPE имеют следующий вид.

Выходные данные команды show vpdn до включения MS-CHAP и MPPE имеют следующий вид.

Выходные данные команды show vpdn после включения MS-CHAP и MPPE имеют следующий вид.

Поиск и устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Некоторые команды show поддерживаются интерпретатором выходных данных (доступен только для зарегистрированных заказчиков); интерпретатор позволяет просматривать анализ выходных данных команды show.

Примечание. Перед использованием команд debug ознакомьтесь с документом Важные сведения о командах отладки.

clear vpdn tunnel pptp – служит для закрытия указанного туннеля вместе со всеми сеансами в туннеле и очистки указанного туннеля PPTP.

Рассогласование параметров шифрования. – Выходные данные отладки маршрутизатора, настроенного в режиме криптостойкого 128-разрядного шифрования в то время, как клиент VPN настроен в режиме 40-разрядного шифрования.

Рассогласование параметров аутентификации. – Выходные данные отладки маршрутизатора, настроенного для использования протокола MS-CHAP в то время, как клиент VPN настроен для использования протокола PAP.

Источник

Читайте также:  Настройка магнитолы в аутлендере
Adblock
detector