Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.73/64: Рейтинг темы: голосов - 64, средняя оценка - 4.73
igor2i
0 / 0 / 0
Регистрация: 19.03.2013
Сообщений: 12
1

Настройка VPN L2TP без шифрования

26.02.2014, 11:23. Просмотров 12137. Ответов 2
Метки нет (Все метки)

Здравствуйте уважаемые Cyber-форумчане!

Я молодой системный администратор, ещё только учусь, собираюсь поступать в следующем месяце на курс CCNA 2.0:R&S.
Мне поручили задание организовать видеоконференцсвязь (по требованию) с несколькими удалёнными районам в нашей области, к сожалению у большинства из точек нет белых IP, и провайдеры их скрывают за своим прокси, в виду этого, я решил развернуть VPN server, на базе Cisco router 2921.(если у кого то есть варианты получше, пишите, с удовольствием поразмыслю над ними.)

На мой взгляд т.к. по VPN будет передаваться исключительно аудио-видео трафик, то от шифрования сразу отказываемся, дабы не нагружать router и трафик.

Мой выбор пал на L2TP, т.к. точки с которыми требуются организовать связь - это школы, а их главные системные администраторы - это учителя информатики, к сожалению по моему опыту большинство не сильно блещат знаниями в данной области . А L2TP можно легко настроить и на станции Windows, Linux, либо на каком-нить стареньком роутере типа Dlink DIR-100.

Авторизация будет производиться при помощи Radius server на базе Windows Server 2008 R2

Пул VPN 172.16.0.5 - 172.16.0.254/24

По скольку я ещё только начинаю знакомиться со всей мощью CISCO, я прошу помощи данного сообщества в разборке с конфигами.

Для начало что мы имеем:

Router 2921
Код
Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Version 15.2(3)T,RELEASE SOFTWARE (fc1)
System image file is "flash:с2900-universalk9_npe_mz.SPA.152-3.T.bin"
Первичный конфиг настроен, ААА авторизация уже включена.
также имеется пакет лицензий Security E-Delivery PAK for Cisco 2901-2951

Switch c2960
Код
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(50)SE5, RELEASE SOFTWARE (fc1)
System image file is "flash:c2960-lanbasek9-mz.122-50.SE5/c2960-lanbasek9-mz.122-50.SE5.bin"
Вот текущая схема сети:

Настройка VPN L2TP без шифрования


Внешние адреса изображены ***.***.40.161 , их маска 255.255.255.248

LifeSize Express 220 - приставка видеоконференцсвязи, с такими-же и требуется осуществить связь.
Как и прежде хочется оставить доступным из вне по адресу ***.***.40.164 (доступно настроить из web интерфейса устройства, только 1х IPv4 и 1х IPv6), и добавить его в VPN c адресом 172.16.0.3 (я не знаю как это лучше сделать) :?

Примерно так я вижу поставленную задачу:

Настройка VPN L2TP без шифрования


На просторах интернета нашёл такой конфиг, правда в нём используется IPSec

Код
! Аутентификация туннельных протоколов запрашивается у RADIUS сервера
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
!
! Аутентификация конкретно для нашего L2TP будет выполнятся на RADIUS сервере
aaa accounting network VPN-USERS
action-type start-stop
group radius
!
!
!
!
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
!
!
!
ip local pool VPN 172.16.0.5 172.16.0.254
!
!
!
!
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/2
ip access-group VPN in
peer default ip address pool VPN
ppp encrypt mppe 128
ppp authentication ms-chap-v2
ppp accounting VPN-USERS
!
ip access-list extended VPN
permit icmp any any echo
permit tcp 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 3389
deny ip any any
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key <key> address 0.0.0.0 0.0.0.0 no-xauth
!
crypto ipsec transform-set TESTOFL2TP esp-aes 256 esp-sha-hmac
mode transport
!
crypto dynamic-map TESTOFL2TP 10
set nat demux
set transform-set TESTOFL2TP
!
crypto map TESTOFL2TP 10 ipsec-isakmp dynamic TESTOFL2TP
!
interface GigabitEthernet0/2
description INTERNET
ip address <internet ip>
ip access-group External in
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
crypto map TESTOFL2TP
!
radius server RS1
address ipv4 ***.***.40.162 auth-port 1812 acct-port 1813
key <key> ! pass
PS
если я не хочу использовать IPSec, что не надо вносить?
надо-ли перенастраивать мой интерфейс, и что именно???

Не знаю как добавить LifeSize Express 220(внутрисетевую) в VPN по умолчанию(без авторизации), на ip 172.16.0.3 (может добавить её в отдельный vlan?), так-же думал может использовать IPv6 в VPN, за место IPv4?(в приставке можно назначить его), только надо чтобы по старому ip ***.***.40.164 , она осталась по прежнему видна...


Прошу, подправить конфиг в соответствии с поставленной задачей, также очень буду рад комментариям и дополнениям
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
26.02.2014, 11:23
Ответы с готовыми решениями:

Remote access vpn l2tp over ipsec
Здравствуйте. есть cisco asa 5515 9.1(2) asdm 7.4(2) настройка делается через asdm. нужен...

Настройка cisco 881 l2tp client
Добрый день.. Есть уже чистая cisco 881 стоит задача подключить инет по L2TP от Beeline.. читал...

Cisco 2851 создать L2TP сервер без IpSec
Добрый день. Cisco 2851 c2800nm-adventerprisek9_ivs-mz.124-24.T5.bin Подскажите рабочий конфиг...

Ws c3750g vpn настройка
Доброго времени суток. Будьте любезны помогите с настройкой &quot;ws-c3750g портовый 24&quot; необходимо...

Настройка VPN на Windows XP
Добрый день Подскажите как на XP разрешить VPN добавить его в исключение в брандмауэр на роутере...

2
Jabbson
Эксперт по компьютерным сетям
3453 / 2497 / 779
Регистрация: 03.11.2009
Сообщений: 7,938
Записей в блоге: 3
26.02.2014, 16:25 2
Простой пптп сервер с локальной аутентификацией:

Настройка VPN L2TP без шифрования


Код
R2:

aaa new-model
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
!
vpdn enable
!
vpdn-group CISCO
 accept-dialin
  protocol any
  virtual-template 1
!
interface FastEthernet0/0
 ip address 192.168.100.1 255.255.255.0
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 ppp authentication pap chap ms-chap ms-chap-v2
 peer default ip address pool VPN
!
ip local pool VPN 1.1.1.1 1.1.1.10
!
username test password 0 test
Проверяем:

screenshots
Настройка VPN L2TP без шифрования

Настройка VPN L2TP без шифрования

Настройка VPN L2TP без шифрования

Настройка VPN L2TP без шифрования

Настройка VPN L2TP без шифрования

Настройка VPN L2TP без шифрования

Настройка VPN L2TP без шифрования


Код
R3:

deb ip icmp
ICMP packet debugging is on
*Mar  1 00:10:56.207: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
*Mar  1 00:10:57.211: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
*Mar  1 00:10:58.211: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
*Mar  1 00:10:59.207: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
3
dmtrslntsv
0 / 0 / 0
Регистрация: 09.01.2015
Сообщений: 1
11.01.2015, 16:46 3
по этому конфигу почему-то пользователь test имеет доступ по ssh

Добавлено через 10 минут
Уважаемый Jabbson, а вы не могли объяснить почему у меня при такой настройке локального ВПН сервера, как вы выше показали, пользователь тест имеет доступ по SSH ?

Добавлено через 4 часа 19 минут
проблема решена )
0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
11.01.2015, 16:46

Настройка PPPoE /// VPN
Привет всем!!! Возникла такая проблемка, подскажите как решить. У меня с другом была настроена...

Настройка VPN через Anyconnect
Добрый день! Есть утилита anyconnect-win-3.1.05152-pre-deploy-k9 и кое-какие инструкции по...

Настройка VPN на NETGEAR WNR3500Lv2
Помогите разобраться с проблемой. Пытаюсь настроить VPN для удаленного доступа к терминал серверу...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
3
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru