Назад | Перейти на главную страницу

Cisco 877 как VPN-сервер?

У меня есть маршрутизатор Cisco 877, который подключает мою сеть к Интернету с помощью линии ADSL, одного общедоступного IP-адреса и NAT; версия iOS - 15.

Все работает нормально, но я бы хотел настроить этот маршрутизатор как VPN-сервер, чтобы иметь возможность подключаться к сети извне.

Я пробовал искать документацию, но все, что я могу найти, связано с тем, что 877 работает как VPN. клиент, или в VPN типа "сеть-сеть"; Я не могу найти ничего о том, чтобы разрешить отдельным удаленным компьютерам доступ к внутренней сети, что я могу довольно легко сделать, используя Windows RRAS или ISA Server.


Редактировать:

Я знаю, что 877 - это маршрутизатор SOHO, и это не лучший выбор в качестве сервера VPN; но это моя домашняя сеть, у меня только один компьютер (пока) и я единственный пользователь. Я определенно не собираюсь купить маршрутизатор корпоративного уровня, чтобы иметь доступ к моему ПК, когда я на работе :-p


Изменить 2:

Я действительно застрял в этом, после многих тестов мне так и не удалось заставить его работать. Я добавляю награду к вопросу, которая будет присуждена к полностью рабочему решению (не на какой-то указатель на загадочную документацию Cisco или не связанные сценарии).

Чтобы люди могли помочь, вот моя текущая конфигурация маршрутизатора (без нерелевантных и личных данных). Будем надеяться, что кто-то, наконец, поможет мне заставить это работать.

Основные положения:

Что я хочу:

Вот конфиг:

version 15.0

service password-encryption

hostname Cisco877

aaa new-model

aaa authentication login default local
aaa authorization console
aaa authorization exec default local

aaa session-id common

ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef

password encryption aes

username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>

ip ssh version 2

interface ATM0
 no ip address
 no atm ilmi-keepalive

interface ATM0.1 point-to-point
 pvc 8/75
  encapsulation aal5mux ppp dialer
  dialer pool-member 1

interface FastEthernet0
 spanning-tree portfast

interface FastEthernet1
 spanning-tree portfast

interface FastEthernet2
 spanning-tree portfast

interface FastEthernet3
 spanning-tree portfast

interface Vlan1
 ip address 192.168.42.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>

ip forward-protocol nd

ip dns server

ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0

access-list 1 permit 192.168.42.0 0.0.0.255

dialer-list 1 protocol ip permit

Я наконец смог заставить его работать, используя огромную поддержку Эвана и эта страница.

Я публикую здесь полную конфигурацию, и я принимаю этот ответ, чтобы оставить его в качестве справки, но, конечно, награда достанется Эвану :-)

Это то, что необходимо добавить в конфигурацию маршрутизатора, чтобы включить доступ к VPN по протоколам PPTP и L2TP:

aaa authentication ppp default local

vpdn enable
vpdn-group VPN_Clients
 accept-dialin
  protocol any
  virtual-template 1
 no l2tp tunnel authentication

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
 mode transport
crypto dynamic-map VPN_DYN_MAP 1
 set nat demux
 set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP

interface Dialer0
 crypto map VPN_MAP

ip local pool VPN_POOL 192.168.42.240 192.168.42.249

interface Virtual-Template1
 ip unnumbered Vlan1
 ip nat inside
 peer default ip address pool VPN_POOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication ms-chap-v2 ms-chap chap

Примечание 1: для аутентификации пользователей VPN вам нужно будет установить их пароли с помощью команды username <user> password <password> вместо более безопасного username <user> secret <password>, в противном случае аутентификация не удастся, поскольку пароли, зашифрованные MD5, несовместимы с CHAP; это задокументировано Вот.

Заметка 2: Эта конфигурация назначает IP-адреса VPN-клиентам, которые являются частью внутренней сети; это самый простой подход, так как использование другой подсети потребует предоставления клиентам статического маршрута к локальной сети. Это действительно было бы более безопасно, но для простого доступа к домашней сети это просто не стоит хлопот.

Вот моя попытка без маршрутизатора, подобного этому, для тестирования. Добавьте в свою конфигурацию следующее:

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local

Это должно включить коммутируемое соединение через VPN (VPDN), создать группу VPDN для приема входящего PPTP, создать пул IP-адресов для назначения клиентам, создать интерфейс виртуального шаблона, который будет назначаться клиентам, и включить локальную аутентификацию для пользователей PPP. Потребуется шифрование MS-CHAP и MPPE (я думаю, в Windows все равно по умолчанию).

Мне не терпится увидеть, правильно ли я получу это с первой попытки ... или вообще.

Итак, согласно веб-сайту Cisco, да, ваш 877 может быть сервером. Но я бы настоятельно не рекомендовал это делать. Я установил решение VPN с маршрутизаторами 871, подключенными к головному маршрутизатору 2800, и у меня возникли всевозможные проблемы. Устройства более низкого уровня просто не предназначены для обработки большого количества одновременных VPN-подключений. Я бы порекомендовал купить маршрутизатор серии 2800 или 3800 с модулем VPN. Аппаратный модуль позволит установить больше соединений, но также будет намного лучше обрабатывать соединения.

Как вы хотите все это настроить и где разместить головную часть, зависит от вас, но я думаю, что размещение головной части вне вашей сети, как ваш 877 сегодня, вероятно, будет самым простым. По ссылкам ниже вы найдете множество способов сделать это, но самый простой - использовать головную станцию, как у вас сейчас, но с более мощным оборудованием.

Уберите пробелы для этих ссылок и найдите во второй строке "Easy VPN".

http://www.cisco.com/en/US/products/sw/secursw/ps5299/

http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/prod_white_paper0900aecd803645b5.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_rem.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_srvr.html