Создаем VPN подключение PC Cisco VPN Client <-> Маршрутизатор
Предположим вы хотите из любой точки мира, безопасно подключится к своей сети (в примере, внутренняя сеть - 192.168.0.0, а клиентам выдаем 192.168.10.0).
Способов масса, однако рекомендую использовать протокол Cisco IPSec.
Для этого на маршрутизаторе понадобится создать следующее:
1. Создать пул адресов для раздачи клиентским ПК
2. Создать аксесс лист и указать откуда куда пускать/не пускать
3. Создать политику isakmp
4. Создать динамическую криптокарту
5. В аксесс листе для НАТа, запретить натить пакеты на удаленную сеть
6. Создать группу для групповой аутентификации
7. Создать пользователя с паролем
ну и почти все, теперь по порядку:
Создаем пул адресов:
ip local pool VPNPOOL 192.168.10.2 192.168.10.20
Создаем аксесс лист
access-list 111 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
Описываем политику
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 8400
Создаем динамическую криптокарту и описываем трансформации
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
crypto dynamic-map DMAP 10
set transform-set TSET
Правим аксесс лист для НАТ
ip access-list extended NATLIST2
deny ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
Создаем группу
crypto isakmp client configuration group OFFICE
key xxxyyyzzz
pool VPNPOOL
acl 111
save-password
Теперь займемся AAA
aaa new-model
!
!
aaa authentication login VPNUSER local
aaa authorization network NAUTHOR local
username test password cool
И еще немного
crypto map SMAP client authentication list VPNUSERS
crypto map SMAP isakmp authorization list NAUTHOR
crypto map SMAP client configuration address respond
crypto map SMAP 10 ipsec-isakmp dynamic DMAP
и на наружном интерфейсе включаем криптокарту
crypto map SMAP
Вот и все, теперь в VPN Client'e создаем соединение, указываем группу OFFICE и вводим логин и пароль
Способов масса, однако рекомендую использовать протокол Cisco IPSec.
Для этого на маршрутизаторе понадобится создать следующее:
1. Создать пул адресов для раздачи клиентским ПК
2. Создать аксесс лист и указать откуда куда пускать/не пускать
3. Создать политику isakmp
4. Создать динамическую криптокарту
5. В аксесс листе для НАТа, запретить натить пакеты на удаленную сеть
6. Создать группу для групповой аутентификации
7. Создать пользователя с паролем
ну и почти все, теперь по порядку:
Создаем пул адресов:
ip local pool VPNPOOL 192.168.10.2 192.168.10.20
Создаем аксесс лист
access-list 111 permit ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
Описываем политику
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 8400
Создаем динамическую криптокарту и описываем трансформации
crypto ipsec transform-set TSET esp-3des esp-sha-hmac
crypto dynamic-map DMAP 10
set transform-set TSET
Правим аксесс лист для НАТ
ip access-list extended NATLIST2
deny ip 192.168.0.0 0.0.0.255 192.168.10.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 any
Создаем группу
crypto isakmp client configuration group OFFICE
key xxxyyyzzz
pool VPNPOOL
acl 111
save-password
Теперь займемся AAA
aaa new-model
!
!
aaa authentication login VPNUSER local
aaa authorization network NAUTHOR local
username test password cool
И еще немного
crypto map SMAP client authentication list VPNUSERS
crypto map SMAP isakmp authorization list NAUTHOR
crypto map SMAP client configuration address respond
crypto map SMAP 10 ipsec-isakmp dynamic DMAP
и на наружном интерфейсе включаем криптокарту
crypto map SMAP
Вот и все, теперь в VPN Client'e создаем соединение, указываем группу OFFICE и вводим логин и пароль
Здравствуйте Олег. Куда должен быть прикручен NATLIST2. Заранее спасибо за ответ.
ОтветитьУдалитьКак быть если уже используется vpn tunel site to site,
ОтветитьУдалитьИ привязать crypto map SMAP к наружнему интерфейсу нельзя?
Для этого можно использовать вот такую связку:
Удалитьaaa authentication login AAA_VPNCLIENT local
aaa authorization network AAA_VPNCLIENT local if-authenticated
crypto ipsec transform-set TRSET_3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec profile CRYPTO-VPN_IPSEC
set transform-set TRSET_3DES-MD5
set isakmp-profile ISAKMP-VPN_IPSEC
crypto isakmp profile ISAKMP-VPN_IPSEC
match identity group VPN-IPSec
client authentication list AAA_VPNCLIENT
isakmp authorization list AAA_VPNCLIENT
client configuration address initiate
client configuration address respond
virtual-template 1
crypto isakmp client configuration group VPN-IPSec
key
dns 8.8.8.8
pool
acl
max-users 3
netmask
interface Virtual-Template1 type tunnel
ip unnumbered Loopback104
ip virtual-reassembly
qos pre-classify
ip nat inside
tunnel mode ipsec ipv4
tunnel protection ipsec profile CRYPTO-VPN_IPSEC
interface Loopback104
ip address
Спасибо за статью. Очень помогли.
ОтветитьУдалить