Настройка VPN L2TP без шифрования

@igor2i · Регистрация: 19.03.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте уважаемые Cyber-форумчане!

Я молодой системный администратор, ещё только учусь, собираюсь поступать в следующем месяце на курс CCNA 2.0:R&S.
Мне поручили задание организовать видеоконференцсвязь (по требованию) с несколькими удалёнными районам в нашей области, к сожалению у большинства из точек нет белых IP, и провайдеры их скрывают за своим прокси, в виду этого, я решил развернуть VPN server, на базе Cisco router 2921.(если у кого то есть варианты получше, пишите, с удовольствием поразмыслю над ними.)

На мой взгляд т.к. по VPN будет передаваться исключительно аудио-видео трафик, то от шифрования сразу отказываемся, дабы не нагружать router и трафик.

Мой выбор пал на L2TP, т.к. точки с которыми требуются организовать связь - это школы, а их главные системные администраторы - это учителя информатики, к сожалению по моему опыту большинство не сильно блещат знаниями в данной области

. А L2TP можно легко настроить и на станции Windows, Linux, либо на каком-нить стареньком роутере типа Dlink DIR-100.

Авторизация будет производиться при помощи Radius server на базе Windows Server 2008 R2

Пул VPN 172.16.0.5 - 172.16.0.254/24

По скольку я ещё только начинаю знакомиться со всей мощью CISCO, я прошу помощи данного сообщества в разборке с конфигами.

Для начало что мы имеем:

Router 2921

Code
1
2
Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9_NPE-M), Version 15.2(3)T,RELEASE SOFTWARE (fc1)
System image file is "flash:с2900-universalk9_npe_mz.SPA.152-3.T.bin"

Первичный конфиг настроен, ААА авторизация уже включена.
также имеется пакет лицензий Security E-Delivery PAK for Cisco 2901-2951

Switch c2960

Code
1
2
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 12.2(50)SE5, RELEASE SOFTWARE (fc1)
System image file is "flash:c2960-lanbasek9-mz.122-50.SE5/c2960-lanbasek9-mz.122-50.SE5.bin"

Вот текущая схема сети:

Внешние адреса изображены ***.***.40.161 , их маска 255.255.255.248

LifeSize Express 220 - приставка видеоконференцсвязи, с такими-же и требуется осуществить связь.
Как и прежде хочется оставить доступным из вне по адресу ***.***.40.164 (доступно настроить из web интерфейса устройства, только 1х IPv4 и 1х IPv6), и добавить его в VPN c адресом 172.16.0.3 (я не знаю как это лучше сделать) :?

Примерно так я вижу поставленную задачу:

На просторах интернета нашёл такой конфиг, правда в нём используется IPSec

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
! Аутентификация туннельных протоколов запрашивается у RADIUS сервера
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
!
! Аутентификация конкретно для нашего L2TP будет выполнятся на RADIUS сервере
aaa accounting network VPN-USERS
action-type start-stop
group radius
!
!
!
!
!
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
!
!
!
!
ip local pool VPN 172.16.0.5 172.16.0.254
!
!
!
!
!
interface Virtual-Template1
ip unnumbered GigabitEthernet0/2
ip access-group VPN in
peer default ip address pool VPN
ppp encrypt mppe 128
ppp authentication ms-chap-v2
ppp accounting VPN-USERS
!
ip access-list extended VPN
permit icmp any any echo
permit tcp 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255 eq 3389
deny ip any any
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key <key> address 0.0.0.0 0.0.0.0 no-xauth
!
crypto ipsec transform-set TESTOFL2TP esp-aes 256 esp-sha-hmac
mode transport
!
crypto dynamic-map TESTOFL2TP 10
set nat demux
set transform-set TESTOFL2TP
!
crypto map TESTOFL2TP 10 ipsec-isakmp dynamic TESTOFL2TP
!
interface GigabitEthernet0/2
description INTERNET
ip address <internet ip>
ip access-group External in
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
crypto map TESTOFL2TP
!
radius server RS1
address ipv4 ***.***.40.162 auth-port 1812 acct-port 1813
key <key> ! pass

PS
если я не хочу использовать IPSec, что не надо вносить?
надо-ли перенастраивать мой интерфейс, и что именно???

Не знаю как добавить LifeSize Express 220(внутрисетевую) в VPN по умолчанию(без авторизации), на ip 172.16.0.3 (может добавить её в отдельный vlan?), так-же думал может использовать IPv6 в VPN, за место IPv4?(в приставке можно назначить его), только надо чтобы по старому ip ***.***.40.164 , она осталась по прежнему видна...

Прошу, подправить конфиг в соответствии с поставленной задачей, также очень буду рад комментариям и дополнениям

Jabbson · 26.02.2014, 16:25

Простой пптп сервер с локальной аутентификацией:

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
R2:
 
aaa new-model
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization network default local
!
vpdn enable
!
vpdn-group CISCO
 accept-dialin
  protocol any
  virtual-template 1
!
interface FastEthernet0/0
 ip address 192.168.100.1 255.255.255.0
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 ppp authentication pap chap ms-chap ms-chap-v2
 peer default ip address pool VPN
!
ip local pool VPN 1.1.1.1 1.1.1.10
!
username test password 0 test

Проверяем:

screenshots

Code
1
2
3
4
5
6
7
8
R3:
 
deb ip icmp
ICMP packet debugging is on
*Mar  1 00:10:56.207: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
*Mar  1 00:10:57.211: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
*Mar  1 00:10:58.211: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1
*Mar  1 00:10:59.207: ICMP: echo reply sent, src 3.3.3.3, dst 1.1.1.1

@dmtrslntsv · 11.01.2015, 16:46

по этому конфигу почему-то пользователь test имеет доступ по ssh

Добавлено через 10 минут
Уважаемый Jabbson, а вы не могли объяснить почему у меня при такой настройке локального ВПН сервера, как вы выше показали, пользователь тест имеет доступ по SSH ?

Добавлено через 4 часа 19 минут
проблема решена )

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@dmtrslntsv 0 / 0 / 0 Регистрация: 09.01.2015 Сообщений: 1
	11.01.2015, 16:46
	по этому конфигу почему-то пользователь test имеет доступ по ssh Добавлено через 10 минут Уважаемый Jabbson, а вы не могли объяснить почему у меня при такой настройке локального ВПН сервера, как вы выше показали, пользователь тест имеет доступ по SSH ? Добавлено через 4 часа 19 минут проблема решена ) 0