Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.93/15: Рейтинг темы: голосов - 15, средняя оценка - 4.93
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
1

cisco easy vpn

26.05.2013, 01:15. Просмотров 2778. Ответов 17

В Cisco новичек. В руки попала железяка Cisco 871. Настроил DHCP, интернет. Возникла необходимость подключения удаленных компьютеров к серверу терминалов через VPN (на клиентских компьютерах подключение через Cisco System VPN Client). Настраивал по http: //www.youtube.com/watch?v=LXGQ_dNgU7c. Собственно настройка Easy VPN с динамической криптокартой.

Имеем локалку из диапазона 192.168.1.1-192.168.1.254 через DHCP;
С локалке на 192.168.1.10 сервер терминалов;
Входящий стат. адрес от интернет провайдера 100.100.100.100;
Для VPN 10.10.10.1-10.10.10.254

Клиентский (удаленный) компьютер подключается через интернет к 100.100.100.100 и получает адрес 10.10.10.1 в VPN Client, а вот как мне настраивать со стороны циски на этот 10.10.10.1? Входящий интерфейс WAN имеет адрес 100.100.100.100, мне на него вешать secondary address? Как писать маршрутизацию в таком случае?

Вот конфиг из GNS3, там тренируюсь. Нужен ли в таком случае loopback или какой-то ещё интерфейс?

test#show run

Building configuration...

Current configuration : 2341 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname test
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login USER-AUTH local
aaa authorization network GROUP-AUTH local
!
aaa session-id common
memory-size iomem 5
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip dhcp use vrf connected
!
ip dhcp pool test
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 100.100.100.50
!
!
no ip domain lookup
ip domain name lab.local
!
!
!
!
username test password 0 test
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group RA-VPN-GROUP
key test
dns 10.10.10.1
wins 10.10.10.1
domain test
pool VPN-POOL
acl 110
crypto isakmp profile VPN-CLIENT
match identity group RA-VPN-GROUP
client authentication list USER-AUTH
isakmp authorization list GROUP-AUTH
client configuration address respond
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
crypto dynamic-map DYNMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
!
crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP
!
!
!
interface FastEthernet0/0
ip address 100.100.100.100 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map DMAP
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
ip local pool VPN-POOL 10.10.10.1 10.10.10.250
ip forward-protocol nd
!
ip http server
no ip http secure-server
ip nat inside source list 10 interface FastEthernet0/0 overload
!
access-list 10 permit 192.0.0.0 0.255.255.255
access-list 110 permit ip 10.10.10.0 0.0.0.255 any
access-list 150 permit esp any any
access-list 150 permit udp any any eq isakmp
access-list 150 permit udp any any eq non500-isakmp
!
!
control-plane
!
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
!
!
end
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
26.05.2013, 01:15
Ответы с готовыми решениями:

easy vpn
Добрый день. у меня сisco 890 в главном офисе. На нем поднят easy vpn сервер...

Easy vpn на asa 5520
Приветствую всех! Подскажите по такому вопросу. Есть cisco 5520 на ней...

Что выбрать для аутентификации пользователей Easy VPN?
Посоветуйте, что выбрать? RADIUS, TACACS+, LDAP? TACACS+ - получается как...

Vpn между cisco роутером 3285 и cisco pix-515
Здравствуйте! Есть сеть-1 (роутер) и сеть-2 (пикс) Нужно сделать доступ по...

Проблемы с подключением RDP->Cisco VPN ->VPN
Здравствуйте, Я не сетевик, так что сразу попрошу отнестись поблажливо=) В...

17
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 22:19 2
Вот некоторый вполне рабочий шаблон, от которого можно отталкиваться:

шаблон
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network easy_vpn_group_aaa local

ip local pool EASY_VPN_POOL 10.10.10.1 10.10.10.254

crypto ipsec transform-set TSET_TUNNEL_3DES_SHA esp-3des esp-sha-hmac
mode tunnel

crypto dynamic-map EASY_VPN_DYN_MAP 1
set transform-set TSET_TUNNEL_3DES_SHA
reverse-route

crypto map EASY_VPN_CMAP 65535 ipsec-isakmp dynamic EASY_VPN_DYN_MAP

interface FastEthernet1/0
ip address 100.100.100.100 255.255.255.0
crypto map EASY_VPN_CMAP

crypto isakmp policy 1
authentication pre-share
encr 3des
hash sha
group 2
lifetime 86400

crypto isakmp xauth timeout 15

crypto map EASY_VPN_CMAP isakmp authorization list easy_vpn_group_aaa
crypto map EASY_VPN_CMAP client authentication list default
crypto map EASY_VPN_CMAP client configuration address respond

crypto isakmp client configuration group easyvpn_group
key 0 easyvpn_group_key
! при необходимости split tunneling: "acl 100" и соответственно: "access-list 100 permit ip 1.1.1.0 0.0.0.255 any"
pool EASY_VPN_POOL
netmask 255.255.255.0

username easyvpn1 privilege 2 secret 0 easyvpn1
username easyvpn2 privilege 2 secret 0 easyvpn2


для потомков также приложу Easy VPN Remote:

Кликните здесь для просмотра всего текста
crypto ipsec client ezvpn EZVPN_CLIENT
{none (auto) | connect manual | connect acl (и тогда еще access-list 100 permit ip 192.168.1.0 0.0.0.255 any)}
group easyvpn_group key 0 easyvpn_group_key
peer 100.100.100.100
username easyvpn1 password 0 easyvpn1
xauth userid mode local { none (console) | xauth userid mode http-intercept }

interface FastEthernet0/1
crypto ipsec client ezvpn EZVPN_CLIENT inside

interface FastEthernet0/0
crypto ipsec client ezvpn EZVPN_CLIENT outside


Цитата Сообщение от galich2 Посмотреть сообщение
а вот как мне настраивать со стороны циски на этот 10.10.10.1?
никак - при подключении клиента, роутер создаст статический маршрут в таблице маршрутизации в сторону клиента и будет знать куда посылать пакеты.
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 22:25  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
Вот некоторый вполне рабочий шаблон, от которого можно отталкиваться:

шаблон
aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network easy_vpn_group_aaa local

ip local pool EASY_VPN_POOL 10.10.10.1 10.10.10.254

crypto ipsec transform-set TSET_TUNNEL_3DES_SHA esp-3des esp-sha-hmac
mode tunnel

crypto dynamic-map EASY_VPN_DYN_MAP 1
set transform-set TSET_TUNNEL_3DES_SHA
reverse-route

crypto map EASY_VPN_CMAP 65535 ipsec-isakmp dynamic EASY_VPN_DYN_MAP

interface FastEthernet1/0
ip address 100.100.100.100 255.255.255.0
crypto map EASY_VPN_CMAP

crypto isakmp policy 1
authentication pre-share
encr 3des
hash sha
group 2
lifetime 86400

crypto isakmp xauth timeout 15

crypto map EASY_VPN_CMAP isakmp authorization list easy_vpn_group_aaa
crypto map EASY_VPN_CMAP client authentication list default
crypto map EASY_VPN_CMAP client configuration address respond

crypto isakmp client configuration group easyvpn_group
key 0 easyvpn_group_key
pool EASY_VPN_POOL
netmask 255.255.255.0

username easyvpn1 privilege 2 secret 0 easyvpn1
username easyvpn2 privilege 2 secret 0 easyvpn2


для потомков также приложу Easy VPN Remote:

Кликните здесь для просмотра всего текста
crypto ipsec client ezvpn EZVPN_CLIENT
{none (auto) | connect manual | connect acl (и тогда еще access-list 100 permit ip 192.168.1.0 0.0.0.255 any)}
group easyvpn_group key 0 easyvpn_group_key
peer 100.100.100.100
username easyvpn1 password 0 easyvpn1
xauth userid mode local { none (console) | xauth userid mode http-intercept }

interface FastEthernet0/1
crypto ipsec client ezvpn EZVPN_CLIENT inside

interface FastEthernet0/0
crypto ipsec client ezvpn EZVPN_CLIENT outside
А как осуществить проброс с адреса VPN (например клиент получил адрес 10.10.10.1) на какую-то реальную машину с адресом 192.168.1.10?
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 22:29 4
Цитата Сообщение от galich2 Посмотреть сообщение
А как осуществить проброс с адреса VPN (например клиент получил адрес 10.10.10.1) на какую-то реальную машину с адресом 192.168.1.10?
какой проброс - у него уже туннель будет и весь трафик будет заворачиваться на роутер 100.100.100.100 - если этот роутер знает о сети 192.168.1.0 - то он туда будет маршрутизировать.
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 22:37  [ТС] 5
Цитата Сообщение от Jabbson Посмотреть сообщение
какой проброс - у него уже туннель будет и весь трафик будет заворачиваться на роутер 100.100.100.100 - если этот роутер знает о сети 192.168.1.0 - то он туда будет маршрутизировать.
Т.е. я должен написать примерно так:
ip nat inside source static tcp 100.100.100.100 3389 192.168.1.10 3389
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 22:38 6
Цитата Сообщение от galich2 Посмотреть сообщение
Т.е. я должен написать примерно так:
ip nat inside source static tcp 100.100.100.1 3389 192.168.1.10 3389
зачем? клиент (10.10.10.1) и так сможет достучаться до всех сетей, о которых знает роутер 100.100.100.100
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 22:45  [ТС] 7
Цитата Сообщение от Jabbson Посмотреть сообщение
зачем?
мне ж надо как-то из внешнего мира попасть на сервер терминалов в сети. Хотя...
в общем пробовать буду.
Как я понял - клиент подключается через клиента и получает внутренний адрес VPN сервера,
он же при подключении Удаленного рабочего стола указывает не внешний стат. адрес,
а адрес VPN. Сам же сервер получив запрос на подключение создает туннель и если в локальной сети
есть кто-то кто "слушает" порт RDP соединяет его с запросившей стороной? Или я полный дуб.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 22:49 8
Цитата Сообщение от galich2 Посмотреть сообщение
Сам же сервер получив запрос на подключение создает туннель и если в локальной сети
есть кто-то кто "слушает" порт RDP соединяет его с запросившей стороной?
вот эта фраза не имеет смыла)

объясните конкретно, что хотите сделать - чтобы я видел всю картину целиком.
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 23:03  [ТС] 9
Цитата Сообщение от Jabbson Посмотреть сообщение
вот эта фраза не имеет смыла)

объясните конкретно, что хотите сделать - чтобы я видел всю картину целиком.
Есть локальная сеть, в которой есть сервер терминалов. Пользователи "ходят" в интернет.
Есть стстический адрес, выданный провайдером.
Есть несколько удаленных магазинов, которые то-же подключаются к серверу терминалов
через интернет. Но на данный момент поменян порт для подключения к серверу терминалов, а
на роутере, на данный момент D-Link, сделан маршрут на сервер терминалов. Т.е. удаленный
пользователь подключается на сервер терминалов не через стандартный порт RDP, а роутер
уже кидает на нужный айпишник и порт.
D-Link меняется на Cisco. Задача - подключения к серверу терминалов из вне пускать только
через VPN, т.е. удаленный пользователь "ползает" в инете, а только подключение к серваку
идет по защищенному каналу.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 23:10 10
Если VPN Client организовывается только для доступа к серверу в головном офисе, то нужно делать split tunnel - в этом случае vpn сервер укажет vpn клиенту на какие сети посылать пакеты через vpn туннель.

это делается с помощью acl на сервере, где описывается интересный трафик в плане получателя (сервер в головном офисе), который потом крепится к eazy_vpn группе c помощью команды acl:

например:
Код
access-list 10 permit 192.168.1.10

crypto isakmp client configuration group easyvpn_group
acl 100
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 23:23  [ТС] 11
Цитата Сообщение от Jabbson Посмотреть сообщение
Если VPN Client организовывается только для доступа к серверу в головном офисе, то нужно делать split tunnel - в этом случае vpn сервер укажет vpn клиенту на какие сети посылать пакеты через vpn туннель.

это делается с помощью acl на сервере, где описывается интересный трафик в плане получателя (сервер в головном офисе), который потом крепится к eazy_vpn группе c помощью команды acl:

например:
Код
access-list 10 permit 192.168.1.10

crypto isakmp client configuration group easyvpn_group
acl 100
Есть такое в моем конфиге:
Код
ip nat inside source list 10 interface FastEthernet0/0 overload
!
access-list 110 permit ip 10.10.10.0 0.0.0.255 any
...
crypto isakmp client configuration group RA-VPN-GROUP
key test
dns 10.10.10.1
wins 10.10.10.1
domain test
pool VPN-POOL
acl 110
С клиентской машины я подключаюсь к серверу VPN, а вот как поведет себя сервер мне не понятно.
Если бы мы имели какой-то виртуальный интерфейс на сервере с адресом VPN было бы понятнее.
FastEthernet0/0 - смотрит в инет и имеет стат. адрес провайдера, в него же "придет" адрес VPN (в нашем случае
10.10.10.1) и нужно же указать маршрут на сервер в локальной сети.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 23:31 12
а что, у роутера нет интерфейса в сети, в которой находится сервер в локальной сети?
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 23:34  [ТС] 13
Цитата Сообщение от Jabbson Посмотреть сообщение
а что, у роутера нет интерфейса в сети, в которой находится сервер в локальной сети?
Нет самого раутера. Есть один девайс Cisco 871 - он то и должен всё разрулить: DHCP, VPN, NAT
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
26.05.2013, 23:36 14
А Cisco 871 - это что уже не роутер?
0
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
26.05.2013, 23:41  [ТС] 15
Цитата Сообщение от Jabbson Посмотреть сообщение
А Cisco 871 - это что уже не роутер?
Конечно роутер. Я имел ввиду физически другой аппарат.
Интерфейс, смотрящий в локалку конечно же есть, но ему же надо объяснить,
что адрес 10.10.10.1 нужно отправить на 192.168.1.10 (сервер терминалов), т.е.
сделать проброс порта RDP.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
27.05.2013, 01:58 16
Цитата Сообщение от galich2 Посмотреть сообщение
но ему же надо объяснить,
что адрес 10.10.10.1 нужно отправить на 192.168.1.10 (сервер терминалов), т.е.
сделать проброс порта RDP.
нет, если у Вас терминальный сервер на RDP, то все что Вам нужно сделать - это поставить Cisco VPN Client на клиента, подключиться к 871 циске, получить адрес 10.10.10.1 и дальше открыть RDP на 192.168.10.1. По списку интересного трафика сплит таннела пакеты побегут на vpn сервер, который знает куда их перенаправить, потому что у него есть интерфейс в соответствующей сети. Ответы сервера 871 циска тоже знает куда отправлять, так как при установлении соединения она сама добавит себе статику до клиента через поднятый туннель.
1
galich2
0 / 0 / 0
Регистрация: 26.05.2013
Сообщений: 11
27.05.2013, 08:27  [ТС] 17
Цитата Сообщение от Jabbson Посмотреть сообщение
нет, если у Вас терминальный сервер на RDP, то все что Вам нужно сделать - это поставить Cisco VPN Client на клиента, подключиться к 871 циске, получить адрес 10.10.10.1 и дальше открыть RDP на 192.168.10.1. По списку интересного трафика сплит таннела пакеты побегут на vpn сервер, который знает куда их перенаправить, потому что у него есть интерфейс в соответствующей сети. Ответы сервера 871 циска тоже знает куда отправлять, так как при установлении соединения она сама добавит себе статику до клиента через поднятый туннель.
Спасибо. Буду пробовать.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
27.05.2013, 15:26 18
Цитата Сообщение от galich2 Посмотреть сообщение
Спасибо.
Всегда пожалуйста.
0
27.05.2013, 15:26
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
27.05.2013, 15:26

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R....

Cisco 800 - Cisco VPN Client
Уважемые форумчане! Прошу подсказать знающих. Нужно на циске настроить VPN для...

Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall
Добрый день. Есть роутер CISCO891-K9 на котором есть один site to site vpn...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
18
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru