← Вернуться в раздел «В помощь системному администратору»

» Как настроить VPN на CISCO 2611?

Автор: ipmanyak
Дата сообщения: 03.03.2009 18:04

4kusnik Я же сказал ip-ip
для примера:
на линуксе
/IPROUTE2/iproute2/ip/ip tunnel add tunl1 mode ipip remote IP_УД_ХОСТА local ТВОЙ_ВНЕШ_IP
ifconfig tunl1 192.168.53.1 pointopoint 192.168.53.2 up
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.53.2 # сеть которую рутим в туннель

на циске просто создаешь туннель - тип ip-ip
interface Tunnel12
description *** to Server Linux ***
bandwidth 128 # эт на твое усмотрение можно и не писать
ip address 192.168.53.2 255.255.255.252
no ip directed-broadcast
tunnel source ТВОЙ_ВНЕШ_IP_циски
tunnel destination IP_УД_ХОСТА_линукс
tunnel mode ipip

ну и маршрут сети в туннель на циске не забыть ака 192.168.1.0 данном случае.
ну где-то так

Если у тебя windows 2000 server:
Маршрутизация и удаленный доступ к сети (RRAS), правой кнопой на Интерфейсы маршрутизации - Создать IP-туннель.

Автор: vlary
Дата сообщения: 03.03.2009 22:13

А в Москве на циску денег не хватает?

Автор: I_Winter_I_I_Wolf_I
Дата сообщения: 03.12.2009 11:56

А вот подскажите по такой ситуации - мне нужно соединить два удаленных офиса туннелем + чтобы пользователь (и не один) мог из дома или откуда еще через VPN-клиент сидеть в офисной сети.
Что проще - настроить одну циску в виде VPN-сервера, а вторую - в виде клиента, или поднять между ними туннель + VPN-сервер на одной из них?

Автор: vlary
Дата сообщения: 03.12.2009 13:04

Цитата:

настроить одну циску в виде VPN-сервера, а вторую - в виде клиента, или поднять между ними туннель + VPN-сервер на одной из них?

ИМХО, второй вариант предпочтительней. А VPN-сервер можно поднять на обеих, и пусть клиенты из дома ходят в тот офис, который им нужен. Иначе неэффективно будет расходоваться трафик.

Автор: I_Winter_I_I_Wolf_I
Дата сообщения: 04.12.2009 04:58

vlary
А, понял. Да, хоть и безлимитка, но канал незачем загружать, жаль, сам не догадался...

Еще вопрос тогда - насколько безопасен GRE? Туннель пойдет через обычный интернет, в офисах разные провайдеры.

Автор: vlary
Дата сообщения: 04.12.2009 12:51

Цитата:

Еще вопрос тогда - насколько безопасен GRE?

Если вам особо нечего скрывать, то можете пользоваться нешифрованным каналом. Если хотите соблюсти секурность и готовы на дополнительные накладные расходы типа некоторого увеличения объема трафика и снижения быстродействия, то зашифруйте трафик в тоннеле по IPSec
Вот даже и примерчик есть
Configuring Router-to-Router IPsec (Pre-shared Keys) on GRE Tunnel with IOS Firewall and NAT

Автор: I_Winter_I_I_Wolf_I
Дата сообщения: 14.01.2010 11:53

Еще вопрос:
Когда задаешь ключ в строке
crypto isakmp key 123456 address 192.168.100.201
можно задать ключ в явном виде (цифра 0), а можно в шифрованном (цифра 6)
Каким алгоритмом/программой шифровать ключ?

Автор: vlary
Дата сообщения: 14.01.2010 17:53

Цитата:

Каким алгоритмом/программой шифровать ключ?

Когда ключ задается в явном виде, циска его сама шифрует, и в конфиге он фигурирует уже зашифрованный.
В конфиге циски нужно задать строчку service password-encryption
если ее там нет

Автор: Flawless
Дата сообщения: 24.12.2010 12:13

можно сюда написать?)
cisco 1721
сейчас
настроен впн для клиентов, подключающихся через инет с винды, имеющие доступ во всю локальную подсеть

нужно
разделить впн-клиентов на 2 части
1 часть (с одним логином, с отдельным ip local pool - 5-10 адресов) чтобы имела доступ во всю подсеть
2 часть (с другим логином, с отдельным ip local pool - где-то 40 адресов) чтобы имела доступ только на отдельный хост

уважаемые, подскажите как реализовать?

Автор: djaksons
Дата сообщения: 30.08.2011 19:34

Привет Всем! Нужна помощь по настройке VPN в одну из сетей.
Схемку сети прилагаю.
NAT поднял все ОК из обоих сетей и VPN на внутреннем сервере за NAT
Статики на порту WAN у меня нет соединение PPPOE а статика вешается провайдером на мое соединение.

Задача поднять сервис VPN самой циски и разрешить подключение к сети 192.168.3.0
Вопросы как создать соединение из вне -? как правильно прикрутить внешний ИП.
Как указать куда пробрасывать клиента VPN в нужную сеть.
Ну если не трудно черкните нужные строки в мой конфиг.

<192.168.2.8>----<192.168.2.10 - CISCO - 192.168.3.1>-----<192.168.3.8>
|
|
WAN

vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
ip pmtu
ip mtu adjust
!
username vpnuser1 password 7 xxxx
username vpnuser2 password 7 xxxx
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.909
encapsulation dot1Q 909
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1
ip address 192.168.2.10 255.255.255.0
ip access-group OUTLAN1 in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.3.1 255.255.255.0
ip access-group OUTLAN2 in
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Virtual-Template1
ip virtual-reassembly in
peer default ip address pool VPN1
no keepalive
ppp encrypt mppe auto
ppp authentication chap eap ms-chap ms-chap-v2
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly in
encapsulation ppp
ip tcp adjust-mss 1432
dialer pool 1
ppp authentication chap callin
ppp chap hostname xxxxxx
ppp chap password yyyyyy
no cdp enable
!
!
ip local pool VPN1 192.168.3.101 192.168.3.150
!
!
ip nat pool WANPOOL <<внеш ip>> <<внеш ip>> netmask 255.255.255.0
ip nat inside source list 10 pool WANPOOL overload
ip nat inside source static tcp 192.168.2.8 1723 <<внеш ip>> 1723 extendable
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended OUTLAN1
permit tcp any any established
permit ip host 192.168.2.8 any

ip access-list extended OUTLAN2
permit tcp any any established
permit ip host 192.168.3.8 any
!
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.3.0 0.0.0.255
dialer-list 1 protocol ip permit

Автор: levkadub
Дата сообщения: 19.10.2011 09:23

Околотемный вопрос:
Решит ли это устройство(Cisco RVL200 4-Port SSL/IPsec VPN Router) следующие задачи:
1. Два провайдера с выделенкой
2. 3-5 исходящих VPN соединений
3. Статическая маршрутизация по указанным маршрутам(инет или исходящие VPN)

Автор: slut
Дата сообщения: 19.10.2011 10:39

levkadub
1. RL200 имеет только один WAN-порт, соответственно, получится соединение только с одним ISP.
2. RL200 умеет только 2 VPN-соединения, причем не умеет быть VPN-клаентом. Варинты: IPSec VPN tunnel с другим роутером плюс одно соединение от клаента на этот роутер.
3. Умеет как любой SOHO-роутер

Автор: levkadub
Дата сообщения: 19.10.2011 11:12

Цитата:

2. RL200 умеет только 2 VPN-соединения, причем не умеет быть VPN-клаентом. Варинты: IPSec VPN tunnel с другим роутером плюс одно соединение от клаента на этот роутер.

есть-ли такие, которые умеют быть VPN клиентом?

Автор: slut
Дата сообщения: 19.10.2011 11:39

levkadub
Опять же зависит от варианта реализации vpn.
Например, pptp: cisco заявлено, что роутеры не умеют быть pptp-клиентами, однако на практике это возможно, во всяком случае касательно более старших линеек.
Почитать можно, погуглив cisco как pptp-client.
Для примера: http://certification.ru/cgi-bin/forum.cgi?action=thread&id=29528

Страницы: 1 2

Предыдущая тема: Тормоза сервера терминалов

Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.