» Как настроить VPN на CISCO 2611?

Здравствуйте!помогите пожалуйста настроить впн на cisco 2611,желательно на каком нить примере.буду весьма благодарен.пытался настроить по мануалу с офсайта, как-то безрезультатно. Вся надежда на вас.

enito
Помочь не проблема, но вы не указали вообще никаких исходных данных.
Посему только прибилизительная базовая настройка:


Код:
!--Задаем политику Internet Key Exchange (IKE) и preshared key
!--для соседа по тоннелю

!-Политика IKE для тоннеля
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
!-Ключи для соседа
crypto isakmp key 123456 address 192.168.100.201
!
!!---Задаем параметры IPSec
!!---Они включают в себя соседей по тоннелю, типы протоколов,
!!---криптографические алгоритмы и описание трафика
crypto ipsec transform-set SAMPLE_SET esp-3des

crypto map SAMPLE 10 ipsec-isakmp
description Description of the crypto map statement policy
set peer 192.168.100.201
set security-association lifetime seconds 28800
set transform-set SAMPLE_SET
set pfs group2
match address 101
!
!
interface FastEthernet0/0
ip address 192.168.0.190 255.255.255.0
speed auto
full-duplex
!
interface Ethernet1/0
ip address 192.168.100.190 255.255.255.0
speed auto
full-duplex
!---Прилагаем crypto map на исходящий интерфейс тоннеля
crypto map SAMPLE

!-Определяем трафик, который будет направляться в тоннель

access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip any any

огромное спасибо за помощь, какие данные нужно сказать(ip?).а эти настроички сейчас попробую.

У циски внешний ip-89.179.*.*
В локальной сети ip-192.168.10.0-192.168.10.255(все это раздаётся по DHCP)

И еще вопросик: когда пишем ключи для соседа что там за ip пишется, что за ip на фастэзернете0/0 и соответственно на 1/0?


Заранее благодарю. Вы мне считай жизнь спасли.


Добавлено:
огромное спасибо за помощь, какие данные нужно сказать(ip?).а эти настроички сейчас попробую.

enito
Во, уточните только задачу:
что б юзеры через вашу 2611 выходили в инет соединяясь с ней через VPN-клиента ;
или
хотите шифровать трафик от 2611 до провайдерской железки? ;

через vpn будет подключаться другой офис к нашей сети для доступа к нашим серверам и прочей ерунде

enito
Перед настройкой надо точно представлять что как и через какую среду работает, есть ли привязка к маршрутам и пр. Посему уточните:

Цитата:

У циски внешний ip-89.179.*.*

Удаленный офис будет подключаться через интернет?


Цитата:

через vpn будет подключаться другой офис к нашей сети

В удаленном офисе тоже имеется cisco или каждый сотрудник этого офиса (а тогда, в принципе, в мобильном варианте из любого места) должен будет иметь возможность подключаться через интернет к вашей сети? Соответственно, будет и еще ряд уточнений, лучше свяжитесь по ICQ # 162181

удаленный офис подключается через интернет(в том офисе инет идет через сервак) в мобильном варианте каждый пользователь подключается с любого компа только под своим паролем и логином. если это реально.

enito Дался вам VPN. Кинь простой туннель ip-ip и всё! Делов на 5 минут.
interface Tunnel12
description *** to main contora ***
bandwidth 128
ip address 192.168.5.1 255.255.255.252
ip mtu 1400
no ip directed-broadcast
tunnel source ip_адрес
tunnel destination ip_адрес
tunnel mode ipip

а поподробнее про эту штуку можно рассказать?и все дело в том что пользователь должен иметь возможность попасть в сеть из любой точки нашей огромной москвы,а может даже и дальше.вот по этому и хотелось бы поднастроить vpn.

ipmanyak
не пойдет по многим причинам (динамические адреса и маршруты, отсутствие безопасности).

Тут типичный вариант: нужно настраивать vpn на cisco и пропускать извне через какой-нибудь vpn-client типа Cisco VPN Client и, если по уму, то с аутентификацией на каком-нибудь RADIUS-сервере.

enito
Завтра постараю расписать детально

enito Тогда я не понял. Вам туннель нужен или циска в качестве VPN сервера ? И клиенты из винды будут ходить на вашу циску? И сколько клиентов ? Если много, то 2611 может не потянуть !

расказываю.Сейчас циска только распределяет интернет по одному нашему офису, на ней настроен DHCP и он раздает ip нашим офисным пользователям и есть необходимость дать доступ(ко всем компам) в нашу сеть другому офису(там примерно человек 5-8 постоянных пользователей которым нужен доступ к нашей сети).это в кратце.

enito

Цитата:

есть необходимость дать доступ(ко всем компам) в нашу сеть другому офису

В этом другом офисе есть циска с поддержкой VPN-туннеля или нет?

нет, там все идет через сервак под виндовс 2003 и керио.

кудато все пропали..... ((

A что вы рассказывали там про мигрующих по всей Москве пользователях?
Задача просто распадается на 2-связь офис-офис(хотя с Керио и это думаю будет не так просто как написано выше) и удаленный доступ мобильных юзеров

Добавлено:
A что вы рассказывали там про мигрующих по всей Москве пользователях?
Задача просто распадается на 2-связь офис-офис(хотя с Керио и это думаю будет не так просто как написано выше) и удаленный доступ мобильных юзеров

Сейчас хотелосьбы настроить связь между офисами, а спользователями попробую разобраться сам.Еще такой вопрос: если настроить vpn на cisco можно ли будет законнектиться к ней с помощью cisco vpn клиент любому пользователю?
Еще раз всех благодарю за помощь)

enito
Что сложнее(пользователи или vpn между офисами) вопрос еще...
Там вы еще писали что то про то что удаленный офис пользоваться inet-ом через ВПН,или я чего не так понял...
Таки объясните всю задачу целиком.

есть два офиса, в первом офисе находится главный сервак и прочие компы(здесь же стоит и циска) и из второго офиса надо получить доступ к этому серваку и компам.в принципе вся задача.

куда все опять пропали??? (((

При попытке установки MSCEP на Windows2000 все нормально устанавливается, но при попытке протестировать установку набрав в Эксплорере адрес
http://myserver/certsrv/mscep/mscep.dll сервер выдает внутреннюю ошибку 500. Есть подозрение, что mscep.dll устаревшей версии. Может есть у кого свежая версия иди кто-то знает, из за чего может быть ошибка?

Проблема решена. MSCEP оказался ни при чем, виноват какой-то вирусняк на Windows2000, не позволявший mscep.dll нормально загружаться. Вирус искать не стал, переустановил систему на Windows2003, все заработало с полпинка.

thank to slut

http://www.opennet.ru/base/cisco/gre_tunnel_conf.txt.html

отличие от вашей ситуации то что тунель можно и награничных построить..

Enito - зайдите на циску через WEB- интерфейс и через SDM настройте IPSEC сервер - все предельно просто. Более понятная вещь чем с командной строки конфигурить.

Спасибо!

Прошу просвятить по следующему вопросу: есть офис в Ташкенте в котором есть Cisco 2800 роутер. От этого офиса нужно протянуть ВПН туннель до сервера, стоящего в Дата-Центре в Москве. Сервак то ли на винде то ли на фряхе. Точно сейчас сказать не могу. Вопрос: возможно ли в описанном случае протянуть ВПН туннель? Если да то кто будет клиентом, а кто сервером и с чего нужно начинать?

4kusnik
регулярно работает, простое описание:
http://www.opennet.ru/base/cisco/ipsec_linux_cisco.txt.html

4kusnik Можно и без VPN. Тупо кидаем простой туннель ip-ip и не важно кто сервер или клиент. Туннель ip-ip поддерживает и cisco и фряха и линукс и Windows 2000 сервер, в сервер 2003 почему-то эту возможность в RRAS убрали, лично мое мнение - зря.
Туннель кинуть не проблема, кто будет сервер или клиент решать вам и какой протокол выбрать тоже решать вам. Туннель ip-ip да не секурный, но это не значит, что его очень просто перехватить, поскольку источник и пункт назначения жестко прописаны по ip. Судя по вопросу вам лучше для начала попробовать туннель ip-ip, ну если хотите с шифрованием, тогда как и сказал slut юзайте ipsec. Начинать само собой с чтения доков и примеров нужно.

Цитата:

Можно и без VPN. Тупо кидаем простой туннель ip-ip и не важно кто сервер или клиент.

ipmanyak, а как называется такое туннелирование?