Как настроить PPTP VPN на Cisco 871 и 851
И так, вернусь к нашим Cisco 871 и Cisco 851. Были вопросы о том как настроить VPN-тунель для подключения внешних клиентов к внутренней сети. Но все жаловались на то, что команды которые предлагали печатать в интернете приводили к ошибкам и ничего не получалось. Я, ради интереса, поискал в интернете эту информацию и действительно, первыми шагами или в серединке были опечатки. Так же я сразу увидел ту проблему о которой все пишут. Дело в том, что при корпоративной настройке в сети часто стоит прокси сервер который раздаёт интернет пользователям и по этой причине подключившийся к сети пользователь не имеет прямого выхода в интернет, он должен пользоваться этим прокси-сервером. Далее видно, что под внешних клиентов выделяется дополнительный пул IP-адресов, из-за которого подключающиеся из вне пользователи не видят внутреннюю локальную сеть и начинаются танцы с бубном в попытке смаршрутизировать между собой две сети или прописать в фаерволе выход в интернет. Всё это вытекает из того, что рекомендации дают пользователи корпоративных сетей для пользователей корпоративных сетей. По этому, для своих друзей придётся написать дополнительную инструкцию для настройки сети домашнего уровня. Я, правда, так и не понимаю зачем это простым домашним юзерам, но на всякий случай напишу, чтобы потом самому не разбираться с присылаемыми сайиами с инструкциями. Если кто-то воспользовался приведенной мной ранее настройкой Cisco 871, то набор команд будет следующий.
И так, хочу сделать несколько уточнений для тех, кто самостоятельно настраивает эту железку. Обратите внимание на то, что я использовал имеющийся у меня ранее пул адресов с названием LAN. Если вы создали ранее свой пул адресов, то напишите его название вместо LAN. Если вы не видели прошлую инструкцию и не настраивали свой пул, то необходимо его настроить.
!входим в конфигурирование gw-border> enable gw-border# conf t !настраиваем пул адресов DHCP gw-border(config)# ip dhcp pool LAN gw-border(dhcp-config)# network 192.168.1.0 255.255.255.0 gw-border(dhcp-config)# default-router 192.168.1.1 !отдаём DNS циски и Гугла gw-border(dhcp-config)# dns-server 192.168.1.1 8.8.8.8 gw-border(dhcp-config)# import all gw-border(dhcp-config)# domain-name orcinus.ru gw-border(dhcp-config)# exit
И, на всякий случай продублирую полный конфиг для настройки PPTP который необходимо дописать после того как была настроена циска по предыдущему руководству.
!входим в конфигурирование gw-border> enable gw-border# conf t !включаем аутентификацию по внутренней базе пользователей gw-border(config)# aaa authentication ppp default local-case !активируем vpdn gw-border(config)# vpdn enable !создаём группу vpdn gw-border(config)# vpdn-group VPDN-PPTP gw-border(config-vpdn)# accept-dialin gw-border(config-acc-in)# protocol pptp gw-border(config-acc-in)#Virtual-template 1 gw-border(config-acc-in)# exit gw-border(config-vpdn)# pptp tunnel echo 10 gw-border(config-vpdn)# ip pmtu gw-border(config-vpdn)# ip mtu adjust gw-border(config-vpdn)# exit !раздача DNS внутрь VPN gw-border(config)# async-bootp dns-server 192.168.1.1 !создаём интерфейс для PPTP gw-border(config)# interface Virtual-template 1 gw-border(config-if)# ip unnumbered vlan1 gw-border(config-if)# ip nat inside gw-border(config-if)# ip virtual-reassembly gw-border(config-if)# autodetect encapsulation ppp gw-border(config-if)# peer default ip address dhcp-pool LAN gw-border(config-if)# ppp encrypt mppe auto gw-border(config-if)# ppp authentication ms-chap ms-chap-v2 gw-border(config-if)# exit !создаём пользователей gw-border(config)# username user1 privilege 0 password 0 PassWorD1 gw-border(config)# username user2 privilege 0 password 0 pASSwORd2 gw-border(config)# exit
После проверки на работоспособность данного решения в конретно вашем окружении, записываем настройку в память маршрутизатора. Так как я представления не имею как вы настраивали свою конфигурацию и телепатией не обладаю, то предугадать все возникающие проблемы не могу. Вопросы лучше писать сразу на электронную почту указаную в подвале странички. Успешной настройки.
Я не буду затрагивать флейм по поводу качества, надёжности, крипкостойкости и прочей секурности данного протокола. Кто решил его использовать, тот был мотивирован какими-то причинами. В принципе, коннект получается вполне стабильным и надёжным.
Отредактировано:2020-09-10 19:41:50
А если дело происходит за NATом? Есть какие-то дополнительные действия? У меня примерно так и сделано, внутри все работает, но снаружи подключится не получается, хотя access-list с внешнего интерфейса я убрал совсем, телнет снаружи видно, pptp порт вроде тоже открыт, но нет. Что я делаю не так?
Разместить сервер за NAT не получится.