» Настройка cisco VPN

Доброго времени суток!
Помогите, пожалуйста, настроить ВПН так, чтобы клиенты ВПН получали доступ во внутреннюю сеть.

Сразу скажу, что пару лет назад пытался настроить резервное переключение каналов Инета, и пытался настроить ВПН средствами SDM, по этому информация несколько избыточна.


[more=service timestamps debug datetime msec]
service timestamps log datetime msec
service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname cisco1841
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$bHXM$YfQPK3qv3H6m9hVVf/nsE.
enable password 7 04590E14082D454107
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default if-authenticated
aaa authorization network ciscocp_vpn_group_ml_1 local
!
aaa session-id common
no ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip dhcp use vrf connected
!
ip dhcp pool LAN_DHCP
network 192.168.0.0 255.255.255.0
default-router 192.168.0.50
dns-server 212.188.4.10 195.34.32.116 81.200.0.1 81.200.2.222
domain-name Pro
!
!
ip domain name yourdomain.com
ip name-server 212.188.4.10
ip name-server 195.34.32.116
ip name-server 81.200.0.1
ip name-server 81.200.2.222
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
!
!
!
crypto pki trustpoint TP-self-signed-1000422412
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1000422412
revocation-check none
rsakeypair TP-self-signed-1000422412
!
!
crypto pki certificate chain TP-self-signed-1000422412
certificate self-signed 01
30820250 308201B9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

5A4FD95B 53472798 A3AF79E1 F447F9DF DD4E5C8D
quit
username see privilege 15 password 7 0509031D2640470617
username administrator privilege 15 secret 5 $1$7CJi$LOnQHghKHV9cS111jX25p1
username test password 7 071B245F5A
username dva privilege 15 password 7 095C4F1A0A1218000F
archive
log config
hidekeys
!
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local SDM_POOL_1
!
crypto isakmp client configuration group EasyVPN
key 123456789
dns 192.168.0.2
domain prof
pool SDM_POOL_1
include-local-lan
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto dynamic-map SDM_DYNMAP_1 1
set transform-set ESP-3DES-SHA
reverse-route
!
!
crypto map SDM_CMAP_1 client authentication list ciscocp_vpn_xauth_ml_1
crypto map SDM_CMAP_1 isakmp authorization list ciscocp_vpn_group_ml_1
crypto map SDM_CMAP_1 client configuration address respond
crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description Lan
ip address 192.168.0.50 255.255.255.0
ip nat inside
ip virtual-reassembly
speed auto
full-duplex
no mop enabled
!
interface FastEthernet0/1
description Inet$ETH-WAN$
ip address xx.xx.170.46 255.255.255.252
ip nat outside
ip virtual-reassembly
ip policy route-map RMAP_NAT_FA0/1
duplex auto
speed auto
crypto map SDM_CMAP_1
!
interface FastEthernet0/0/0
description InetSU29
!

interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip nat inside
ip virtual-reassembly
autodetect encapsulation ppp
peer default ip address pool VPN
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
interface Vlan1
description InetSU29
ip address xx.xx.17.5 255.255.255.0
ip nat outside
ip virtual-reassembly
ip policy route-map RMAP_NAT_FA0/0/0
!
ip local pool VPN 192.168.10.100 192.168.10.150
ip local pool SDM_POOL_1 192.168.0.151 192.168.0.200
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 xx.xx.170.45
ip route 0.0.0.0 0.0.0.0 xx.xx.17.1 2
ip route 192.168.10.0 255.255.255.0 FastEthernet0/0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map RMAP_NAT_FA0/0/0 interface Vlan1 overload
ip nat inside source route-map RMAP_NAT_FA0/1 interface FastEthernet0/1 overload
ip dns server
!
access-list 1 permit 192.168.10.0 0.0.0.255 log
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 10 permit any
route-map RMAP_NAT_FA0/0/0 permit 100
match ip address 1
match interface Vlan1
set ip next-hop xx.xx.17.1
!
route-map RMAP_NAT_FA0/1 permit 50
match ip address 1
match interface FastEthernet0/1
set ip next-hop xx.xx.170.45
![/more]

)))) Это понятно, что надо пользоваться поиском. Я уже несколько недель им пользуюсь и ищу инфу по этому вопросу. И продолжаю искать. Но, в силу своей тупости не могу понять в чем дело.

ВПН клиенты получают адреса в сети 192.168.10.0. Маршрут прописал из этой сети на внутренний интерфейс:
ip route 192.168.10.0 255.255.255.0 FastEthernet0/0

ACL тоже вроде как сделал:
access-list 1 permit 192.168.10.0 0.0.0.255 log


Gateway of last resort is хх.195.170.45 to network 0.0.0.0

81.0.0.0/30 is subnetted, 1 subnets
C хх.195.170.44 is directly connected, FastEthernet0/1
192.168.10.0/32 is subnetted, 1 subnets
C 192.168.10.100 is directly connected, Virtual-Access3
S* 0.0.0.0/0 [1/0] via хх.195.170.45

Тут почему-то я не вижу маршрута для 192.168.10.0 (ВПН клиентов)

я просто посоветовал задать вопрос в профильной теме

Цитата:

ВПН клиенты получают адреса в сети 192.168.10.0. Маршрут прописал из этой сети на внутренний интерфейс:
ip route 192.168.10.0 255.255.255.0 FastEthernet0/0

если впн пул прописан - маршрутизатор и так знает где сетка 192.168.10.0 никакие маршруты не нужны, точнее маршруты нужны на клиентах локальной сети которые могут не знать что 192.168.10.0 находится за 192.168.0.50

Задача такая, что бы пользователи получали, из дома, доступ к серверу на работе.

===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 24 1d 8d 01 40 ...... Realtek PCIe GBE Family Controller - ╠шэшяюЁЄ яы
рэшЁют∙шър яръхЄют
0x60004 ...00 53 45 00 00 00 ...... WAN (PPP/SLIP) Interface
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.4.1 192.168.4.2 21
0.0.0.0 0.0.0.0 192.168.10.100 192.168.10.100 1
xx.xx.170.46 255.255.255.255 192.168.4.1 192.168.4.2 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.4.0 255.255.255.0 192.168.4.2 192.168.4.2 20
192.168.4.2 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.4.255 255.255.255.255 192.168.4.2 192.168.4.2 20
192.168.10.100 255.255.255.255 127.0.0.1 127.0.0.1 50
192.168.10.255 255.255.255.255 192.168.10.100 192.168.10.100 50
224.0.0.0 240.0.0.0 192.168.4.2 192.168.4.2 20
224.0.0.0 240.0.0.0 192.168.10.100 192.168.10.100 1
255.255.255.255 255.255.255.255 192.168.4.2 192.168.4.2 1
255.255.255.255 255.255.255.255 192.168.10.100 192.168.10.100 1
Основной шлюз: 192.168.10.100
===========================================================================
Постоянные маршруты:
Отсутствует


На сколько я понимаю, с маршрутом на клиенте все Ок? Или я ишибаюсь?

eesuvorov
Цитата:

На сколько я понимаю, с маршрутом на клиенте все Ок? Или я ишибаюсь?

1. Почему PPTP а не, скажем, L2TP или родной цискин IPSec?
2. Почему бы не раздавть клиентам айпи из внутренней сетки, чтобы локальные хосты не заморачивались поиском сети 192.168.10.0?

Цитата:

1. Почему PPTP а не, скажем, L2TP или родной цискин IPSec?

Мне не принципиально. Но, кажется при настройки PPTP меньше настроек и проще разобраться.

Цитата:

2. Почему бы не раздавть клиентам айпи из внутренней сетки, чтобы локальные хосты не заморачивались поиском сети 192.168.10.0

До того как разместил свой конфиг, делал подсеть 192.168.0.0, но тоже не работала. Переделать на 192.168.0.0?

Еще вопрос: с циски при выполнении команды sh ping 192.168.0.50 должен пинг проходить?

eesuvorov
Цитата:

кажется при настройки PPTP меньше настроек

Это только кажется.

Цитата:

Переделать на 192.168.0.0?

Хозяин - барин

Цитата:

с циски при выполнении команды sh ping 192.168.0.50 должен пинг проходить?

Команды sh ping не существует. Есть просто ping. Клиент пинговаться должен.

Подскажите, можно ли?

Сейчас юзеры подключаются с помощью Cisco VPN Clients к роутеру клиента, так вот, можно ли на Cisco 38xx (у нас есть таковой) настроить так, чтобы юзерам не надо было подключать у себя Cisco VPN Clients, т.е. чтобы вместо юзеров это подключение делала наша Cisco 38xx?

Т.е. чтобы наша Cisco 38xx выступала как VPN клиент по отношению к роутеру клиента?

svmix
Цитата:

выступала как VPN клиент по отношению к роутеру клиента

Ты сам то понял, что написал?
Кто чей клиент? Какой у клиента роутер? С какой стати клиент должен быть сервером?
Объясни по-человечески, чего и зачем ты добиваешься, возможно, это решается по-другому и намного проще?

даже не знаю, как еще объяснить, вроде вот здесь описал что хочу - ...Сейчас юзеры подключаются с помощью Cisco VPN Clients к роутеру клиента, так вот, можно ли на Cisco 38xx (у нас есть таковой) настроить так, чтобы юзерам не надо было подключать у себя Cisco VPN Clients, т.е. чтобы вместо юзеров это подключение делала наша Cisco 38xx?...

Или так тоже не понятно?

svmix
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080808395.shtml
Угадал?

Да, я уже тоже нашел что-то подобное - http://www.realcoding.net/articles/postroenie-easy-vpn-c-asa5500-v-kachestve-servera-i-cisco-router-v-kachestve-klienta.html

svmix Если у вас две циски рутера, то зачем вам тогда VPN вообще? Киньте туннель между ними, настройте маршруты и всё. Самое простое туннель IP-IP:
interface Tunnel12
description *** to MAIN Server ***
bandwidth 128
ip address 192.168.5.1 255.255.255.252
no ip directed-broadcast
tunnel source 111.111.111.111
tunnel destination 222.222.222.222
tunnel mode ipip
=======
Хотите секурнее, применяйте ipsec туннель

Если бы обе сиськи были наши, то так и сделали бы, собственно у нас так и сделано на наших сиськах, а здесь вторая сиська клиента, а он не особо спешит изменять уже настроенное, хотя ему все-равно придется что-то изменять... в общем сейчас согласовываю с клиентом и пробую договориться на туннель.