аукцион / donate / услуги / RSS / распечатать / вход 
Мой мир
Вконтакте
Одноклассники

[29 июня 2015 | 30 июня 2015 | 1 июля 2015]

Как настроить PPTP VPN на Cisco 871 и 851

И так, вернусь к нашим Cisco 871 и Cisco 851. Были вопросы о том как настроить VPN-тунель для подключения внешних клиентов к внутренней сети. Но все жаловались на то, что команды которые предлагали печатать в интернете приводили к ошибкам и ничего не получалось. Я, ради интереса, поискал в интернете эту информацию и действительно, первыми шагами или в серединке были опечатки. Так же я сразу увидел ту проблему о которой все пишут. Дело в том, что при корпоративной настройке в сети часто стоит прокси сервер который раздаёт интернет пользователям и по этой причине подключившийся к сети пользователь не имеет прямого выхода в интернет, он должен пользоваться этим прокси-сервером. Далее видно, что под внешних клиентов выделяется дополнительный пул IP-адресов, из-за которого подключающиеся из вне пользователи не видят внутреннюю локальную сеть и начинаются танцы с бубном в попытке смаршрутизировать между собой две сети или прописать в фаерволе выход в интернет. Всё это вытекает из того, что рекомендации дают пользователи корпоративных сетей для пользователей корпоративных сетей. По этому, для своих друзей придётся написать дополнительную инструкцию для настройки сети домашнего уровня. Я, правда, так и не понимаю зачем это простым домашним юзерам, но на всякий случай напишу, чтобы потом самому не разбираться с присылаемыми сайиами с инструкциями. Если кто-то воспользовался приведенной мной ранее настройкой Cisco 871, то набор команд будет следующий.

Cisco 871 PPTP.

И так, хочу сделать несколько уточнений для тех, кто самостоятельно настраивает эту железку. Обратите внимание на то, что я использовал имеющийся у меня ранее пул адресов с названием LAN. Если вы создали ранее свой пул адресов, то напишите его название вместо LAN. Если вы не видели прошлую инструкцию и не настраивали свой пул, то необходимо его настроить.

!входим в конфигурирование
gw-border> enable
gw-border# conf t

!настраиваем пул адресов DHCP
gw-border(config)# ip dhcp pool LAN
gw-border(dhcp-config)# network 192.168.1.0 255.255.255.0
gw-border(dhcp-config)# default-router 192.168.1.1
!отдаём DNS циски и Гугла
gw-border(dhcp-config)# dns-server 192.168.1.1 8.8.8.8
gw-border(dhcp-config)# import all
gw-border(dhcp-config)# domain-name orcinus.ru
gw-border(dhcp-config)# exit

И, на всякий случай продублирую полный конфиг для настройки PPTP который необходимо дописать после того как была настроена циска по предыдущему руководству.

!входим в конфигурирование
gw-border> enable
gw-border# conf t

!включаем аутентификацию по внутренней базе пользователей
gw-border(config)# aaa authentication ppp default local-case

!активируем vpdn
gw-border(config)# vpdn enable

!создаём группу vpdn
gw-border(config)# vpdn-group VPDN-PPTP
gw-border(config-vpdn)# accept-dialin
gw-border(config-acc-in)# protocol pptp
gw-border(config-acc-in)#Virtual-template 1
gw-border(config-acc-in)# exit
gw-border(config-vpdn)# pptp tunnel echo 10
gw-border(config-vpdn)# ip pmtu
gw-border(config-vpdn)# ip mtu adjust
gw-border(config-vpdn)# exit

!раздача DNS внутрь VPN
gw-border(config)# async-bootp dns-server 192.168.1.1

!создаём интерфейс для PPTP
gw-border(config)# interface Virtual-template 1
gw-border(config-if)# ip unnumbered vlan1
gw-border(config-if)# ip nat inside
gw-border(config-if)# ip virtual-reassembly
gw-border(config-if)# autodetect encapsulation ppp
gw-border(config-if)# peer default ip address dhcp-pool LAN
gw-border(config-if)# ppp encrypt mppe auto
gw-border(config-if)# ppp authentication ms-chap ms-chap-v2
gw-border(config-if)# exit

!создаём пользователей
gw-border(config)# username user1 privilege 0 password 0 PassWorD1
gw-border(config)# username user2 privilege 0 password 0 pASSwORd2

gw-border(config)# exit

После проверки на работоспособность данного решения в конретно вашем окружении, записываем настройку в память маршрутизатора. Так как я представления не имею как вы настраивали свою конфигурацию и телепатией не обладаю, то предугадать все возникающие проблемы не могу. Вопросы лучше писать сразу на электронную почту указаную в подвале странички. Успешной настройки.

Я не буду затрагивать флейм по поводу качества, надёжности, крипкостойкости и прочей секурности данного протокола. Кто решил его использовать, тот был мотивирован какими-то причинами. В принципе, коннект получается вполне стабильным и надёжным.

Тэги: ИТ, Cisco

Отредактировано:2020-09-10 19:41:50




3 комментария
Имя: 3a-5648 🖉
А если дело происходит за NATом? Есть какие-то дополнительные действия? У меня примерно так и сделано, внутри все работает, но снаружи подключится не получается, хотя access-list с внешнего интерфейса я убрал совсем, телнет снаружи видно, pptp порт вроде тоже открыт, но нет. Что я делаю не так?
Комментарий оставлен: 2023-11-10 11:15:31
Ответ:
Разместить сервер за NAT не получится.
Ответ оставлен: 2023-11-13 13:07:55


Имя: 3a-5648 🖉
Ok, настроил l2tp, вроде одинаково работает изнутри и из-за NATа. Без шифрования все отлично, даже mppe запустить получилось (долго не мог понято какой ключ она хочет), но винда без iPsec работать отказывается. Вроде настроил, винда работает, но с другой циской есть проблема: как только вешаю карту на интерфейс iPsec вроде поднимается, канал виден, (но в стаусе IDLE), l2tp - не поднимается (не видит другого конца). Снимаю crypto map (на клиенте) - опять все отлично, но только mppe. 2 одинаковые циски (1841), 2 одинаковые прошивки (c1841-adventerprisek9-mz.124-25f) и не договариваются. Что может быть не так?
Комментарий оставлен: 2023-11-27 15:01:50
Ответ:
Много факторов, может быть. В каждом конкретном случае необходимо отдельно разбираться. Я сейчас в длительной командировке и мне сложно сориентироваться без распечатки конфигурации, что именно вы делаете и какие могли быть допущены ошибки.
Ответ оставлен: 2023-11-28 09:46:39


Имя: 3a-5648 🖉
А сейчас у вас есть возможность посмотреть на это? Возможно каким-нибудь более удобным способом связи.
Комментарий оставлен: 2023-11-28 11:10:25
Ответ:
У меня сейчас совсем нет времени. Можете выслать в архиве на электронную почту данные sh run одного и второго устройства. Но я не обещаю, что смогу ближайшие 3 месяца дать ответ.
Ответ оставлен: 2023-11-28 12:29:48



Этот сайт использует файлы cookies, чтобы упростить вашу навигацию по сайту, предлагать только интересную информацию и упростить заполнение форм. Я предполагаю, что, если вы продолжаете использовать мой сайт, то вы согласны с использованием мной файлов cookies. Вы в любое время можете удалить и/или запретить их использование изменив настройки своего интернет-браузера.

Сообщайте мне о замеченных ошибках на: web@orcinus.ru. Все пожелания и советы будут учтены при дальнейшем проектировании сайта. Я готов сотрудничать со всеми желающими. В некоторых случаях, мнение автора может не совпадать с мнением автора! Phone: +7-902-924-70-49.

Top.Mail.Ru
Top.Mail.Ru LiveInternet Rambler's Top100 Яндекс.Метрика