cisco easy vpn

@galich2 · Регистрация: 26.05.2013

Студворк — интернет-сервис помощи студентам

В Cisco новичек. В руки попала железяка Cisco 871. Настроил DHCP, интернет. Возникла необходимость подключения удаленных компьютеров к серверу терминалов через VPN (на клиентских компьютерах подключение через Cisco System VPN Client). Настраивал по http: //www.youtube.com/watch?v=LXGQ_dNgU7c. Собственно настройка Easy VPN с динамической криптокартой.

Имеем локалку из диапазона 192.168.1.1-192.168.1.254 через DHCP;
С локалке на 192.168.1.10 сервер терминалов;
Входящий стат. адрес от интернет провайдера 100.100.100.100;
Для VPN 10.10.10.1-10.10.10.254

Клиентский (удаленный) компьютер подключается через интернет к 100.100.100.100 и получает адрес 10.10.10.1 в VPN Client, а вот как мне настраивать со стороны циски на этот 10.10.10.1? Входящий интерфейс WAN имеет адрес 100.100.100.100, мне на него вешать secondary address? Как писать маршрутизацию в таком случае?

Вот конфиг из GNS3, там тренируюсь. Нужен ли в таком случае loopback или какой-то ещё интерфейс?

test#show run

Building configuration...

Current configuration : 2341 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname test
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login USER-AUTH local
aaa authorization network GROUP-AUTH local
!
aaa session-id common
memory-size iomem 5
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip dhcp use vrf connected
!
ip dhcp pool test
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 100.100.100.50
!
!
no ip domain lookup
ip domain name lab.local
!
!
!
!
username test password 0 test
!
!
!
!
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group RA-VPN-GROUP
key test
dns 10.10.10.1
wins 10.10.10.1
domain test
pool VPN-POOL
acl 110
crypto isakmp profile VPN-CLIENT
match identity group RA-VPN-GROUP
client authentication list USER-AUTH
isakmp authorization list GROUP-AUTH
client configuration address respond
!
!
crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map DYMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
crypto dynamic-map DYNMAP 10
set transform-set 3DES-MD5
set isakmp-profile VPN-CLIENT
reverse-route
!
!
crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP
!
!
!
interface FastEthernet0/0
ip address 100.100.100.100 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map DMAP
!
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1/0
no ip address
shutdown
duplex auto
speed auto
!
ip local pool VPN-POOL 10.10.10.1 10.10.10.250
ip forward-protocol nd
!
ip http server
no ip http secure-server
ip nat inside source list 10 interface FastEthernet0/0 overload
!
access-list 10 permit 192.0.0.0 0.255.255.255
access-list 110 permit ip 10.10.10.0 0.0.0.255 any
access-list 150 permit esp any any
access-list 150 permit udp any any eq isakmp
access-list 150 permit udp any any eq non500-isakmp
!
!
control-plane
!
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
!
!
end

Jabbson · 26.05.2013, 22:19

Вот некоторый вполне рабочий шаблон, от которого можно отталкиваться:

шаблон

aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network easy_vpn_group_aaa local

ip local pool EASY_VPN_POOL 10.10.10.1 10.10.10.254

crypto ipsec transform-set TSET_TUNNEL_3DES_SHA esp-3des esp-sha-hmac
mode tunnel

crypto dynamic-map EASY_VPN_DYN_MAP 1
set transform-set TSET_TUNNEL_3DES_SHA
reverse-route

crypto map EASY_VPN_CMAP 65535 ipsec-isakmp dynamic EASY_VPN_DYN_MAP

interface FastEthernet1/0
ip address 100.100.100.100 255.255.255.0
crypto map EASY_VPN_CMAP

crypto isakmp policy 1
authentication pre-share
encr 3des
hash sha
group 2
lifetime 86400

crypto isakmp xauth timeout 15

crypto map EASY_VPN_CMAP isakmp authorization list easy_vpn_group_aaa
crypto map EASY_VPN_CMAP client authentication list default
crypto map EASY_VPN_CMAP client configuration address respond

crypto isakmp client configuration group easyvpn_group
key 0 easyvpn_group_key
! при необходимости split tunneling: "acl 100" и соответственно: "access-list 100 permit ip 1.1.1.0 0.0.0.255 any"
pool EASY_VPN_POOL
netmask 255.255.255.0

username easyvpn1 privilege 2 secret 0 easyvpn1
username easyvpn2 privilege 2 secret 0 easyvpn2

для потомков также приложу Easy VPN Remote:

Кликните здесь для просмотра всего текста

crypto ipsec client ezvpn EZVPN_CLIENT
{none (auto) | connect manual | connect acl (и тогда еще access-list 100 permit ip 192.168.1.0 0.0.0.255 any)}
group easyvpn_group key 0 easyvpn_group_key
peer 100.100.100.100
username easyvpn1 password 0 easyvpn1
xauth userid mode local { none (console) | xauth userid mode http-intercept }

interface FastEthernet0/1
crypto ipsec client ezvpn EZVPN_CLIENT inside

interface FastEthernet0/0
crypto ipsec client ezvpn EZVPN_CLIENT outside

Сообщение от galich2

а вот как мне настраивать со стороны циски на этот 10.10.10.1?

никак - при подключении клиента, роутер создаст статический маршрут в таблице маршрутизации в сторону клиента и будет знать куда посылать пакеты.

@galich2 · 26.05.2013, 22:25 **[ТС]**

Сообщение от Jabbson

Вот некоторый вполне рабочий шаблон, от которого можно отталкиваться:

шаблон

aaa new-model
aaa authentication login default local
aaa authorization exec default local
aaa authorization network easy_vpn_group_aaa local

ip local pool EASY_VPN_POOL 10.10.10.1 10.10.10.254

crypto ipsec transform-set TSET_TUNNEL_3DES_SHA esp-3des esp-sha-hmac
mode tunnel

crypto dynamic-map EASY_VPN_DYN_MAP 1
set transform-set TSET_TUNNEL_3DES_SHA
reverse-route

crypto map EASY_VPN_CMAP 65535 ipsec-isakmp dynamic EASY_VPN_DYN_MAP

interface FastEthernet1/0
ip address 100.100.100.100 255.255.255.0
crypto map EASY_VPN_CMAP

crypto isakmp policy 1
authentication pre-share
encr 3des
hash sha
group 2
lifetime 86400

crypto isakmp xauth timeout 15

crypto map EASY_VPN_CMAP isakmp authorization list easy_vpn_group_aaa
crypto map EASY_VPN_CMAP client authentication list default
crypto map EASY_VPN_CMAP client configuration address respond

crypto isakmp client configuration group easyvpn_group
key 0 easyvpn_group_key
pool EASY_VPN_POOL
netmask 255.255.255.0

username easyvpn1 privilege 2 secret 0 easyvpn1
username easyvpn2 privilege 2 secret 0 easyvpn2

для потомков также приложу Easy VPN Remote:

Кликните здесь для просмотра всего текста

crypto ipsec client ezvpn EZVPN_CLIENT
{none (auto) | connect manual | connect acl (и тогда еще access-list 100 permit ip 192.168.1.0 0.0.0.255 any)}
group easyvpn_group key 0 easyvpn_group_key
peer 100.100.100.100
username easyvpn1 password 0 easyvpn1
xauth userid mode local { none (console) | xauth userid mode http-intercept }

interface FastEthernet0/1
crypto ipsec client ezvpn EZVPN_CLIENT inside

interface FastEthernet0/0
crypto ipsec client ezvpn EZVPN_CLIENT outside

А как осуществить проброс с адреса VPN (например клиент получил адрес 10.10.10.1) на какую-то реальную машину с адресом 192.168.1.10?

Jabbson · 26.05.2013, 22:29

Сообщение от galich2

А как осуществить проброс с адреса VPN (например клиент получил адрес 10.10.10.1) на какую-то реальную машину с адресом 192.168.1.10?

какой проброс - у него уже туннель будет и весь трафик будет заворачиваться на роутер 100.100.100.100 - если этот роутер знает о сети 192.168.1.0 - то он туда будет маршрутизировать.

@galich2 · 26.05.2013, 22:37 **[ТС]**

Сообщение от Jabbson

какой проброс - у него уже туннель будет и весь трафик будет заворачиваться на роутер 100.100.100.100 - если этот роутер знает о сети 192.168.1.0 - то он туда будет маршрутизировать.

Т.е. я должен написать примерно так:
ip nat inside source static tcp 100.100.100.100 3389 192.168.1.10 3389

Jabbson · 26.05.2013, 22:38

Сообщение от galich2

Т.е. я должен написать примерно так:
ip nat inside source static tcp 100.100.100.1 3389 192.168.1.10 3389

зачем? клиент (10.10.10.1) и так сможет достучаться до всех сетей, о которых знает роутер 100.100.100.100

@galich2 · 26.05.2013, 22:45 **[ТС]**

Сообщение от Jabbson

зачем?

мне ж надо как-то из внешнего мира попасть на сервер терминалов в сети. Хотя...
в общем пробовать буду.
Как я понял - клиент подключается через клиента и получает внутренний адрес VPN сервера,
он же при подключении Удаленного рабочего стола указывает не внешний стат. адрес,
а адрес VPN. Сам же сервер получив запрос на подключение создает туннель и если в локальной сети
есть кто-то кто "слушает" порт RDP соединяет его с запросившей стороной? Или я полный дуб.

Jabbson · 26.05.2013, 22:49

Сообщение от galich2

Сам же сервер получив запрос на подключение создает туннель и если в локальной сети
есть кто-то кто "слушает" порт RDP соединяет его с запросившей стороной?

вот эта фраза не имеет смыла)

объясните конкретно, что хотите сделать - чтобы я видел всю картину целиком.

@galich2 · 26.05.2013, 23:03 **[ТС]**

Сообщение от Jabbson

вот эта фраза не имеет смыла)

объясните конкретно, что хотите сделать - чтобы я видел всю картину целиком.

Есть локальная сеть, в которой есть сервер терминалов. Пользователи "ходят" в интернет.
Есть стстический адрес, выданный провайдером.
Есть несколько удаленных магазинов, которые то-же подключаются к серверу терминалов
через интернет. Но на данный момент поменян порт для подключения к серверу терминалов, а
на роутере, на данный момент D-Link, сделан маршрут на сервер терминалов. Т.е. удаленный
пользователь подключается на сервер терминалов не через стандартный порт RDP, а роутер
уже кидает на нужный айпишник и порт.
D-Link меняется на Cisco. Задача - подключения к серверу терминалов из вне пускать только
через VPN, т.е. удаленный пользователь "ползает" в инете, а только подключение к серваку
идет по защищенному каналу.

Jabbson · 26.05.2013, 23:10

Если VPN Client организовывается только для доступа к серверу в головном офисе, то нужно делать split tunnel - в этом случае vpn сервер укажет vpn клиенту на какие сети посылать пакеты через vpn туннель.

это делается с помощью acl на сервере, где описывается интересный трафик в плане получателя (сервер в головном офисе), который потом крепится к eazy_vpn группе c помощью команды acl:

например:

Code
1
2
3
4
access-list 10 permit 192.168.1.10
 
crypto isakmp client configuration group easyvpn_group
acl 100

@galich2 · 26.05.2013, 23:23 **[ТС]**

Сообщение от Jabbson

Если VPN Client организовывается только для доступа к серверу в головном офисе, то нужно делать split tunnel - в этом случае vpn сервер укажет vpn клиенту на какие сети посылать пакеты через vpn туннель.

это делается с помощью acl на сервере, где описывается интересный трафик в плане получателя (сервер в головном офисе), который потом крепится к eazy_vpn группе c помощью команды acl:

например:

Code
1
2
3
4
access-list 10 permit 192.168.1.10
 
crypto isakmp client configuration group easyvpn_group
acl 100

Есть такое в моем конфиге:

Code
1
2
3
4
5
6
7
8
9
10
11
ip nat inside source list 10 interface FastEthernet0/0 overload
!
access-list 110 permit ip 10.10.10.0 0.0.0.255 any
...
crypto isakmp client configuration group RA-VPN-GROUP
key test
dns 10.10.10.1
wins 10.10.10.1
domain test
pool VPN-POOL
acl 110

С клиентской машины я подключаюсь к серверу VPN, а вот как поведет себя сервер мне не понятно.
Если бы мы имели какой-то виртуальный интерфейс на сервере с адресом VPN было бы понятнее.
FastEthernet0/0 - смотрит в инет и имеет стат. адрес провайдера, в него же "придет" адрес VPN (в нашем случае
10.10.10.1) и нужно же указать маршрут на сервер в локальной сети.

Jabbson · 26.05.2013, 23:31

а что, у роутера нет интерфейса в сети, в которой находится сервер в локальной сети?

@galich2 · 26.05.2013, 23:34 **[ТС]**

Сообщение от Jabbson

а что, у роутера нет интерфейса в сети, в которой находится сервер в локальной сети?

Нет самого раутера. Есть один девайс Cisco 871 - он то и должен всё разрулить: DHCP, VPN, NAT

Jabbson · 26.05.2013, 23:36

А Cisco 871 - это что уже не роутер?

@galich2 · 26.05.2013, 23:41 **[ТС]**

Сообщение от Jabbson

А Cisco 871 - это что уже не роутер?

Конечно роутер. Я имел ввиду физически другой аппарат.
Интерфейс, смотрящий в локалку конечно же есть, но ему же надо объяснить,
что адрес 10.10.10.1 нужно отправить на 192.168.1.10 (сервер терминалов), т.е.
сделать проброс порта RDP.

Jabbson · 27.05.2013, 01:58

Сообщение от galich2

но ему же надо объяснить,
что адрес 10.10.10.1 нужно отправить на 192.168.1.10 (сервер терминалов), т.е.
сделать проброс порта RDP.

нет, если у Вас терминальный сервер на RDP, то все что Вам нужно сделать - это поставить Cisco VPN Client на клиента, подключиться к 871 циске, получить адрес 10.10.10.1 и дальше открыть RDP на 192.168.10.1. По списку интересного трафика сплит таннела пакеты побегут на vpn сервер, который знает куда их перенаправить, потому что у него есть интерфейс в соответствующей сети. Ответы сервера 871 циска тоже знает куда отправлять, так как при установлении соединения она сама добавит себе статику до клиента через поднятый туннель.

@galich2 · 27.05.2013, 08:27 **[ТС]**

Сообщение от Jabbson

нет, если у Вас терминальный сервер на RDP, то все что Вам нужно сделать - это поставить Cisco VPN Client на клиента, подключиться к 871 циске, получить адрес 10.10.10.1 и дальше открыть RDP на 192.168.10.1. По списку интересного трафика сплит таннела пакеты побегут на vpn сервер, который знает куда их перенаправить, потому что у него есть интерфейс в соответствующей сети. Ответы сервера 871 циска тоже знает куда отправлять, так как при установлении соединения она сама добавит себе статику до клиента через поднятый туннель.

Спасибо. Буду пробовать.

Jabbson · 27.05.2013, 15:26

Сообщение от galich2

Спасибо.

Всегда пожалуйста.

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@galich2 0 / 0 / 0 Регистрация: 26.05.2013 Сообщений: 11

	cisco easy vpn 26.05.2013, 01:15. Показов 4105. Ответов 17 Метки cisco, easy vpn, ezvpn (Все метки) В Cisco новичек. В руки попала железяка Cisco 871. Настроил DHCP, интернет. Возникла необходимость подключения удаленных компьютеров к серверу терминалов через VPN (на клиентских компьютерах подключение через Cisco System VPN Client). Настраивал по http: //www.youtube.com/watch?v=LXGQ_dNgU7c. Собственно настройка Easy VPN с динамической криптокартой. Имеем локалку из диапазона 192.168.1.1-192.168.1.254 через DHCP; С локалке на 192.168.1.10 сервер терминалов; Входящий стат. адрес от интернет провайдера 100.100.100.100; Для VPN 10.10.10.1-10.10.10.254 Клиентский (удаленный) компьютер подключается через интернет к 100.100.100.100 и получает адрес 10.10.10.1 в VPN Client, а вот как мне настраивать со стороны циски на этот 10.10.10.1? Входящий интерфейс WAN имеет адрес 100.100.100.100, мне на него вешать secondary address? Как писать маршрутизацию в таком случае? Вот конфиг из GNS3, там тренируюсь. Нужен ли в таком случае loopback или какой-то ещё интерфейс? test#show run Building configuration... Current configuration : 2341 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname test ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication login USER-AUTH local aaa authorization network GROUP-AUTH local ! aaa session-id common memory-size iomem 5 ip cef ! ! ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 no ip dhcp use vrf connected ! ip dhcp pool test network 192.168.1.0 255.255.255.0 default-router 192.168.1.1 dns-server 100.100.100.50 ! ! no ip domain lookup ip domain name lab.local ! ! ! ! username test password 0 test ! ! ! ! crypto isakmp policy 10 hash md5 authentication pre-share group 2 ! crypto isakmp client configuration group RA-VPN-GROUP key test dns 10.10.10.1 wins 10.10.10.1 domain test pool VPN-POOL acl 110 crypto isakmp profile VPN-CLIENT match identity group RA-VPN-GROUP client authentication list USER-AUTH isakmp authorization list GROUP-AUTH client configuration address respond ! ! crypto ipsec transform-set 3DES-MD5 esp-3des esp-md5-hmac ! crypto dynamic-map DYMAP 10 set transform-set 3DES-MD5 set isakmp-profile VPN-CLIENT reverse-route ! crypto dynamic-map DYNMAP 10 set transform-set 3DES-MD5 set isakmp-profile VPN-CLIENT reverse-route ! ! crypto map DMAP 1 ipsec-isakmp dynamic DYNMAP ! ! ! interface FastEthernet0/0 ip address 100.100.100.100 255.255.255.0 ip nat outside ip virtual-reassembly duplex auto speed auto crypto map DMAP ! interface FastEthernet0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto ! interface FastEthernet1/0 no ip address shutdown duplex auto speed auto ! ip local pool VPN-POOL 10.10.10.1 10.10.10.250 ip forward-protocol nd ! ip http server no ip http secure-server ip nat inside source list 10 interface FastEthernet0/0 overload ! access-list 10 permit 192.0.0.0 0.255.255.255 access-list 110 permit ip 10.10.10.0 0.0.0.255 any access-list 150 permit esp any any access-list 150 permit udp any any eq isakmp access-list 150 permit udp any any eq non500-isakmp ! ! control-plane ! ! ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 ! ! end 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	26.05.2013, 23:31
	а что, у роутера нет интерфейса в сети, в которой находится сервер в локальной сети? 0

Jabbson 5907 / 3359 / 1036 Регистрация: 03.11.2009 Сообщений: 10,008
	26.05.2013, 23:36
	А Cisco 871 - это что уже не роутер? 0