Назад | Перейти на главную страницу

Простая конфигурация Road Warrior IPv4 VPN в Cisco IOS

Я хочу настроить достаточно простую конфигурацию Road Warrior VPN на наших маршрутизаторах Cisco. К сожалению, я искал это, но не могу найти простого полного руководства.

Несколько (не обязательно много) удаленных пользователей
Конфигурация IPSec / ISAKMP
IPv4
параметры для режима разделенного туннеля или шлюза по умолчанию

Какую конфигурацию мне нужно ввести, чтобы включить это?

Я ищу общий ответ, хотя я использую c2600-ik9o3s3-mz.123-26.bin, если вам нужно знать.

Вы ищете VPN с удаленным доступом. Документы Cisco

Также вам, вероятно, следует посмотреть на Руководство по клиентским решениям Cisco Secure VPN

Вот что я придумал, это должно быть хорошей отправной точкой для создания конфигурации VPN. Я не уверен что это минимальный как таковой, но он должен заставить всех, кто это ищет, запустить.

Руководство по клиентским решениям Cisco Secure VPN, на которое указал Зайфер, было очень полезно для создания этого - там есть несколько хороших примеров, если вы можете его просеять.

aaa new-model

! Create a vpn-users DB that points to the local auth service
aaa authentication login vpn-users local
aaa authorization network vpn-users local

! any local user will be allowed to use the VPN
username fred secret 5 SECRET

! Create an ISAKMP policy that handles the ISAKMP negotiation process
crypto isakmp policy 1
 encr aes
 authentication pre-share
 group 2
 lifetime 3600
crypto isakmp keepalive 120 15
crypto isakmp xauth timeout 60

! Group policy for ISAKMP
crypto isakmp client configuration group default
 key PLAINTEXT_KEY
 dns LOCAL_DNS_SERVERS
 domain LOCAL_DOMAIN
 pool vpn-dynamic-pool

! VPN clients will be assigned addresses out of this pool
ip local pool vpn-dynamic-pool 192.168.2.1 192.168.2.254

! Create transform sets that specify how the actual IPSEC traffic will be encrypted
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA-LZS esp-aes esp-sha-hmac comp-lzs

! Create IPSEC policies - any negotiated transform scheme must be specified
! in the map below
crypto dynamic-map vpn-dynamic-map 1
 set transform-set ESP-AES-128-SHA-LZS
crypto dynamic-map vpn-dynamic-map 2
 set transform-set ESP-AES-128-SHA

! 
crypto map vpn-dynamic client authentication list vpn-users
crypto map vpn-dynamic client configuration address respond
crypto map vpn-dynamic isakmp authorization list vpn-users
crypto map vpn-dynamic 1 ipsec-isakmp dynamic vpn-dynamic-map

! Apply the IPSEC map to the external interface
interface ExternalInterface/0
 crypto map vpn-dynamic