Skip to content

By Тодор in Cisco

Ще покажа най-важната част от конфигурацията на Cisco рутер, който може да приема dial-up vpn клиенти закачащи се с Cisco VPN Client (има и алтернатива от Shrew Soft).

crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
!
crypto isakmp client configuration group vpngroup
 key p4ssw0rd
 domain domain.local
 pool vpnpool
 acl 110
 netmask 255.255.255.255
!
crypto ipsec transform-set myset esp-aes esp-sha-hmac
!
crypto dynamic-map dynmap 10
 set transform-set myset
!
crypto map clientmap isakmp authorization list default
crypto map clientmap client configuration address respond
crypto map clientmap 10 ipsec-isakmp dynamic dynmap
!
interface FastEthernet1
 ip address dhcp
 ip nat outside
 crypto map clientmap
!
ip local pool vpnpool 192.168.55.100 192.168.55.200
!
ip nat inside source list 150 interface FastEthernet1 overload
access-list 110 permit ip 192.168.0.0 0.0.0.255 any
access-list 150 deny   ip 192.168.0.0 0.0.0.255 192.168.55.0 0.0.0.255
access-list 150 permit ip 192.168.0.0 0.0.0.255 any

Това което трябва да се настрои при клиента е групата vpngroup с парола p4ssw0rd.
В тази конфигурация вътрешната мрежа зад рутера е 192.168.0.0/24, а клиентите на криптирания тунел са 192.168.55.0/24. ACL 110 разрешава на вътрешната мрежа да мине през тунела, а ACL 150, който съдържа списък с какво трябва да се NAT-не, първо не позволява NAT в случай на трафик от 192.168.0.0/24 към 192.168.55.0/24 и второ разрешава NAT за всички останали дестинации.

Ако желаем да имаме още един фактор на идентификация т.е. да пита и за потребителско име и парола, освен конфигурираните вече група и парола на групата, добавяме следните няколко реда:

aaa new-model
aaa authorization network default local
crypto map clientmap client authentication list default

Comment Feed

No Responses (yet)



Some HTML is OK

or, reply to this post via trackback.