Cisco как L2TP/IPSEC клиент (например к Микротику)

-

Cisco IOS как L2TP/IPSEC клиент (подключаемся к Микротику)


yy.yy.yy.yy - внешний адрес микротика куда подключаться будем.
aa.aa.aa.aa/24 наша подсеть внутренняя
bb.bb.bb.bb/24 удаленная подсеть доступная через L2TP/IPSEC (может быть один хост)

pseudowire-class PTCLASS1
 encapsulation l2tpv2
 ip local interface GigabitEthernet0/0 !Интерфейс с которого будет устанавливаться соединение (внешний)
 
Сначала настроим IPSec


crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 14
 
crypto isakmp key <общий ключ> address yy.yy.yy.yy
!
В режиме транспорт

crypto ipsec transform-set TSET esp-aes esp-sha-hmac
 mode transport
!

ip access-list extended L2TP_TRAFFIC
 permit udp any host yy.yy.yy.yy

crypto map L2TPMAP 10 ipsec-isakmp
 set peer yy.yy.yy.yy
 set transform-set TSET
 match address L2TP_TRAFFIC
 

Теперь L2TP


interface Virtual-PPP1
 ip address negotiated
 ip nat outside
 ip virtual-reassembly in
 ppp eap refuse
 ppp chap hostname <имя пользователя>
 ppp chap password 0 <пароль>
 ppp ipcp address accept
 no cdp enable
 pseudowire yy.yy.yy.yy 1 encapsulation l2tpv2 pw-class PTCLASS1


interface GigabitEthernet0/0
 ip address 7.8.9.10 255.255.255.252
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map L2TPMAP
 
На внутреннем интерфейсе нужно включить ip nat inside

ip access-list extended NATTOPWACL
 permit ip aa.aa.aa.aa 0.0.0.255 bb.bb.bb.bb 0.0.0.255


ip nat inside source list NATTOPWACL interface Virtual-PPP1 overload

ip route bb.bb.bb.bb 255.255.255.0 Virtual-PPP1

---------------------

Дополнение:

В случае если у вас внешний интерфейс в vrf не global, например VRF1

interface GigabitEthernet0/0
 ip address 7.8.9.10 255.255.255.252
 ip vrf forwarding VRF1
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map L2TPMAP

Тогда делаем keychain:

crypto keyring kchvr1 vrf VRF1
  pre-shared-key address yy.yy.yy.yy key <общий ключ>
 
Теперь профиль:
 
crypto isakmp profile isprof1
   vrf VRF1
   keyring kchvr1
   match identity address yy.yy.yy.yy 255.255.255.255
 
И применим профиль:
 
crypto map L2TPMAP 10 ipsec-isakmp
 set peer yy.yy.yy.yy
 set transform-set TSET
 set isakmp-profile isprof1
 match address L2TP_TRAFFIC

Комментарии

Отправить комментарий

Популярные сообщения из этого блога

DHCP опция 121 - статические маршруты по DHCP

-
Однажды мне понадобилось отправить трафик на некоторые сети  на другой маршрутизатор. Пришлось на Windows добавлять route add и маршрут на нужную сеть, через нужный маршрутизатор. Но тут оказалось, что есть отличная опция 121 (и 249). Можно на Cisco добавить (на ASA например): dhcpd option 121 hex 18c0a8c1c0a8000718c0a8c2c0a80008 Эта строка добавляет статический маршрут на сеть 192.168.193.0/24 через шлюз 192.168.0.7 и маршрут 192.168.194.0/24 через шлюз 192.168.0.8 Формат такой: Сначала пишем длину префикса, потом сеть без лишних нулей, то есть если маска /24 то сеть 192.168.0 например ну или 10.7.1 то есть не значащие октеты не пишем. Далее адрес шлюза. Далее можно писать в том же формате еще один маршрут. У нас в примере их два: 18 c0a8c1 c0a80007 18 c0a8c2 c0a80008
Далее...

Сброс на заводские настройки, коммутатора Moxa EDS-518A

-
Изображение
В связи с тем что на этом коммутаторе нет кнопки сброса, нам понадобится снять с него крышку. На верхней плате есть вырез, через который видна средняя плата, а там есть два коннектора, нам нужен шести контактный. Нам нужно замкнуть контакты, отмеченные на картинке красным цветом (те что ближе к задней стенке, замкнуть можно например перемычкой от жесткого диска или привода).  Затем надо подключить консольный кабель, его распиновка есть в документе - EDS-518A Series, Hardware Installation Guide Теперь можно подать питание и дождаться появления в терминале вот такого меню: ================================================<<Main Menu>>> ----------------------------------------------------------------------              MOXA EDS-518A-T MM-Test Ver 1.9   built time=  09042815       Firmware Mac Address:00-90-e8-20-9c-76   SerNo:2399 -------------------...
Далее...