rev="post-822" No Comments
Ще покажа най-важната част от конфигурацията на Cisco рутер, който може да приема dial-up vpn клиенти закачащи се с Cisco VPN Client (има и алтернатива от Shrew Soft).
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
!
crypto isakmp client configuration group vpngroup
key p4ssw0rd
domain domain.local
pool vpnpool
acl 110
netmask 255.255.255.255
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
!
crypto map clientmap isakmp authorization list default
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
interface FastEthernet1
ip address dhcp
ip nat outside
crypto map clientmap
!
ip local pool vpnpool 192.168.55.100 192.168.55.200
!
ip nat inside source list 150 interface FastEthernet1 overload
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 deny ip 192.168.0.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 150 permit ip 192.168.0.0 0.0.0.255 anyТова което трябва да се настрои при клиента е групата vpngroup с парола p4ssw0rd.
В тази конфигурация вътрешната мрежа зад рутера е 192.168.0.0/24, а клиентите на криптирания тунел са 192.168.55.0/24. ACL 110 разрешава на вътрешната мрежа да мине през тунела, а ACL 150, който съдържа списък с какво трябва да се NAT-не, първо не позволява NAT в случай на трафик от 192.168.0.0/24 към 192.168.55.0/24 и второ разрешава NAT за всички останали дестинации.
Ако желаем да имаме още един фактор на идентификация т.е. да пита и за потребителско име и парола, освен конфигурираните вече група и парола на групата, добавяме следните няколко реда:
aaa new-model
aaa authorization network default local
crypto map clientmap client authentication list default
Последни коментари