Чтобы предоставить мобильным пользователям подключаться к корпоративной сети предприятия можно без особых усилий поднять PPTP или L2TP сервер на уже имеющемся у вас роутере Cisco. Пользователю на своём Windows компьютере не нужно будет устанавливать никаких VPN-клиентов. только штатными средствами операционной системы создать подключение.
PPTP
# Указываем роутеру аутентифицировать pptp клиентов по локальной базе (нужно, если включен aaa new model)
aaa authentication ppp default local
aaa authorization network default local
aaa authorization exec default local
# Создаём пользователя (через secret бывают проблемы)
username <user> password <password>
# Включаем использование виртуальных частных коммутируемых сетей
vpdn enable
# Cоздаем группу
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
# Настраиваем виртуальный интерфейс
interface Virtual-Template1
ip unnumbered FastEthernet0/1 (LAN интерфейс)
# указываем пул из которого клиенту будет выдаваться адрес
peer default ip address pool VPN
no keepalive
# включаем шифрование
ppp encrypt mppe auto
# указываем протокол аутентификации
ppp authentication ms-chap-v2
# Создаем пул адресов для клиентов
ip local pool POOL-VPN 192.168.10.200 192.168.10.210
# Указываем роутеру аутентифицировать pptp клиентов по локальной базе (нужно, если включен aaa new model)
aaa authentication ppp default local
aaa authorization network default local
# Настраиваем клиента, подключаемся к сети и проверяем.
show vpdn session pptp
L2TP
aaa new-model
aaa authentication login default local
aaa authentication ppp default local
aaa authorization exec default local
# Создаём пользователя (через secret бывают проблемы)
user cisco password cisco
# Включаем использование виртуальных частных коммутируемых сетей
vpdn enable
# Cоздаем группу
vpdn-group L2TP
accept-dialin
protocol l2tp
virtual-template 10
no l2tp tunnel authentication
# Настраиваем метод авторизации - PreShare-Key
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 3600
# Настраиваем IPSEC
crypto ipsec transform-set ipnetconfig esp-3des esp-sha-hmac
mode transport
# Создаём CryptoMap
crypto dynamic-map ipnetconfig-map 10
set nat demux
set transform-set ipnetconfig
crypto map cisco 10 ipsec-isakmp dynamic ipnetconfig-map
# Применяем CryptoMap
interface FastEthernet0/0
ip address 192.168.10.254 255.255.255.0
duplex auto
speed auto
crypto map cisco
# Настраиваем виртуальный интерфейс
interface Virtual-Template 10
ip unnumbered FastEthernet0/0
peer default ip address pool POOL-VPN
ppp encrypt mppe 40
ppp authentication ms-chap-v2
# Создаем пул адресов для клиентов
ip local pool POOL-VPN 192.168.10.200 192.168.10.210
# Настраиваем клиента, подключаемся к сети и проверяем.
show vpdn session pptp
В конце написано настраиваем клиента и подключаемся к сети, а как настроить L2TP клиента на маршрутизаторе Cisco?
ОтветитьУдалить