У меня есть маршрутизатор Cisco 877, который подключает мою сеть к Интернету с помощью линии ADSL, одного общедоступного IP-адреса и NAT; версия iOS - 15.
Все работает нормально, но я бы хотел настроить этот маршрутизатор как VPN-сервер, чтобы иметь возможность подключаться к сети извне.
Я пробовал искать документацию, но все, что я могу найти, связано с тем, что 877 работает как VPN. клиент, или в VPN типа "сеть-сеть"; Я не могу найти ничего о том, чтобы разрешить отдельным удаленным компьютерам доступ к внутренней сети, что я могу довольно легко сделать, используя Windows RRAS или ISA Server.
Я знаю, что 877 - это маршрутизатор SOHO, и это не лучший выбор в качестве сервера VPN; но это моя домашняя сеть, у меня только один компьютер (пока) и я единственный пользователь. Я определенно не собираюсь купить маршрутизатор корпоративного уровня, чтобы иметь доступ к моему ПК, когда я на работе :-p
Я действительно застрял в этом, после многих тестов мне так и не удалось заставить его работать. Я добавляю награду к вопросу, которая будет присуждена к полностью рабочему решению (не на какой-то указатель на загадочную документацию Cisco или не связанные сценарии).
Чтобы люди могли помочь, вот моя текущая конфигурация маршрутизатора (без нерелевантных и личных данных). Будем надеяться, что кто-то, наконец, поможет мне заставить это работать.
Основные положения:
Что я хочу:
Вот конфиг:
version 15.0
service password-encryption
hostname Cisco877
aaa new-model
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
aaa session-id common
ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef
password encryption aes
username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>
ip ssh version 2
interface ATM0
no ip address
no atm ilmi-keepalive
interface ATM0.1 point-to-point
pvc 8/75
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface FastEthernet0
spanning-tree portfast
interface FastEthernet1
spanning-tree portfast
interface FastEthernet2
spanning-tree portfast
interface FastEthernet3
spanning-tree portfast
interface Vlan1
ip address 192.168.42.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>
ip forward-protocol nd
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
access-list 1 permit 192.168.42.0 0.0.0.255
dialer-list 1 protocol ip permit
Я наконец смог заставить его работать, используя огромную поддержку Эвана и эта страница.
Я публикую здесь полную конфигурацию, и я принимаю этот ответ, чтобы оставить его в качестве справки, но, конечно, награда достанется Эвану :-)
Это то, что необходимо добавить в конфигурацию маршрутизатора, чтобы включить доступ к VPN по протоколам PPTP и L2TP:
aaa authentication ppp default local
vpdn enable
vpdn-group VPN_Clients
accept-dialin
protocol any
virtual-template 1
no l2tp tunnel authentication
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
mode transport
crypto dynamic-map VPN_DYN_MAP 1
set nat demux
set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP
interface Dialer0
crypto map VPN_MAP
ip local pool VPN_POOL 192.168.42.240 192.168.42.249
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
peer default ip address pool VPN_POOL
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 ms-chap chap
Примечание 1: для аутентификации пользователей VPN вам нужно будет установить их пароли с помощью команды username <user> password <password>
вместо более безопасного username <user> secret <password>
, в противном случае аутентификация не удастся, поскольку пароли, зашифрованные MD5, несовместимы с CHAP; это задокументировано Вот.
Заметка 2: Эта конфигурация назначает IP-адреса VPN-клиентам, которые являются частью внутренней сети; это самый простой подход, так как использование другой подсети потребует предоставления клиентам статического маршрута к локальной сети. Это действительно было бы более безопасно, но для простого доступа к домашней сети это просто не стоит хлопот.
Вот моя попытка без маршрутизатора, подобного этому, для тестирования. Добавьте в свою конфигурацию следующее:
vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local
Это должно включить коммутируемое соединение через VPN (VPDN), создать группу VPDN для приема входящего PPTP, создать пул IP-адресов для назначения клиентам, создать интерфейс виртуального шаблона, который будет назначаться клиентам, и включить локальную аутентификацию для пользователей PPP. Потребуется шифрование MS-CHAP и MPPE (я думаю, в Windows все равно по умолчанию).
Мне не терпится увидеть, правильно ли я получу это с первой попытки ... или вообще.
Итак, согласно веб-сайту Cisco, да, ваш 877 может быть сервером. Но я бы настоятельно не рекомендовал это делать. Я установил решение VPN с маршрутизаторами 871, подключенными к головному маршрутизатору 2800, и у меня возникли всевозможные проблемы. Устройства более низкого уровня просто не предназначены для обработки большого количества одновременных VPN-подключений. Я бы порекомендовал купить маршрутизатор серии 2800 или 3800 с модулем VPN. Аппаратный модуль позволит установить больше соединений, но также будет намного лучше обрабатывать соединения.
Как вы хотите все это настроить и где разместить головную часть, зависит от вас, но я думаю, что размещение головной части вне вашей сети, как ваш 877 сегодня, вероятно, будет самым простым. По ссылкам ниже вы найдете множество способов сделать это, но самый простой - использовать головную станцию, как у вас сейчас, но с более мощным оборудованием.
Уберите пробелы для этих ссылок и найдите во второй строке "Easy VPN".
http://www.cisco.com/en/US/products/sw/secursw/ps5299/
http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf