The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"VPN"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"VPN"  +/
Сообщение от GnomS (??) on 04-Дек-09, 10:58 
Привет всем жителям форума. Возникла потребность поднять VPN соединение между производственной сетью и домашним компом. В наличии есть 2621XM с NATом ISO 12.3 IPBASE. Через нее ходит почта. Текущий конфиг прилагаю. Подскажите как можно осуществить задуманное применить VPDN или через IPSec надежнее. Желательно с примером. Заранее прошу не плюваться и сильно не ругаться т.к. пока учусь.  

Собственно конфиг кошки:
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 2621
!
boot-start-marker
boot-end-marker
!
enable secret 5
enable password 7
!
clock timezone MSK 3
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip bootp server

ip name-server DNS1_provaider
ip name-server DNS2_provaider
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address 192.168.55.2 255.255.255.248
ip nat inside
speed auto
full-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
ip address x1.y1.z1.s1 255.255.255.0
ip access-group 102 in
ip nat outside
speed auto
full-duplex
no cdp enable
no mop enabled
!
ip nat translation tcp-timeout 60
ip nat translation udp-timeout 60
ip nat inside source list 101 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.55.5 25 x1.y1.z1.s1 25 extendable
ip nat inside source static udp 192.168.55.1 53 x1.y1.z1.s1 53 extendable

ip classless
ip route 0.0.0.0 0.0.0.0 GW_provaider
no ip http server
!
access-list 101 permit tcp host 192.168.55.5 any eq smtp log
access-list 101 permit udp host 192.168.55.1 any eq domain log
access-list 101 permit udp any any eq ntp log
access-list 101 permit icmp any any log
access-list 101 deny   ip any any log
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip any 0.0.0.255 255.255.255.0
access-list 102 deny   ip any 0.0.0.0 255.255.255.0
access-list 102 permit tcp any any established
access-list 102 permit tcp any any eq smtp log
access-list 102 permit tcp any any eq domain log
access-list 102 permit udp any any eq domain log
access-list 102 permit udp any any eq ntp log
access-list 102 permit icmp any any log
access-list 102 deny   ip any any log
no cdp run
!
line con 0
line aux 0
line vty 0 4
password 7
login
!
ntp clock-period 17180296
ntp server 62.117.76.142
!
!
end

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • VPN, Александр, 11:03 , 04-Дек-09, (1)  
    • VPN, GnomS, 11:12 , 04-Дек-09, (2)  
      • VPN, GnomS, 11:13 , 04-Дек-09, (3)  
        • VPN, Denismy, 13:36 , 04-Дек-09, (4)  
          • VPN, GnomS, 14:02 , 04-Дек-09, (5)  
            • VPN, j_vw, 21:50 , 04-Дек-09, (6)  
              • VPN, GnomS, 13:11 , 10-Дек-09, (7)  

Сообщения по теме [Сортировка по времени | RSS]


1. "VPN"  +/
Сообщение от Александр email(??) on 04-Дек-09, 11:03 
>[оверквотинг удален]
>line aux 0
>line vty 0 4
> password 7
> login
>!
>ntp clock-period 17180296
>ntp server 62.117.76.142
>!
>!
>end

для начала вам нужно сменить прошивку на адвансед
смотрите по fn

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "VPN"  +/
Сообщение от GnomS (??) on 04-Дек-09, 11:12 
>[оверквотинг удален]
>> login
>>!
>>ntp clock-period 17180296
>>ntp server 62.117.76.142
>>!
>>!
>>end
>
>для начала вам нужно сменить прошивку на адвансед
>смотрите по fn

а через VPND не пойдет? вроде бы в моей есть такая команда. Или это не безопастно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "VPN"  +/
Сообщение от GnomS (??) on 04-Дек-09, 11:13 
>[оверквотинг удален]
>>>ntp server 62.117.76.142
>>>!
>>>!
>>>end
>>
>>для начала вам нужно сменить прошивку на адвансед
>>смотрите по fn
>
>а через VPND не пойдет? вроде бы в моей есть такая команда.
>Или это не безопастно?

вернее через VPDN

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "VPN"  +/
Сообщение от Denismy (??) on 04-Дек-09, 13:36 
>вернее через VPDN

будет пита того (это без шифрования)

ip dhcp pool POOL_ADM
   network yyy.yyy.yyy.0 255.255.255.0

vpdn enable
vpdn-group ADM
accept-dialin
  protocol pptp
  virtual-template 1
source-ip xxx.xxx.xxx.xxx
l2tp tunnel receive-window 1024

interface FastEthernet0/0 - внешний интерфейс
ip address xxx.xxx.xxx.xxx 255.255.255.xxx

interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip pim sparse-dense-mode
peer default ip address dhcp-pool POOL_ADM
ppp authentication ms-chap-v2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "VPN"  +/
Сообщение от GnomS (??) on 04-Дек-09, 14:02 
>[оверквотинг удален]
> l2tp tunnel receive-window 1024
>
>interface FastEthernet0/0 - внешний интерфейс
> ip address xxx.xxx.xxx.xxx 255.255.255.xxx
>
>interface Virtual-Template1
> ip unnumbered FastEthernet0/0
> ip pim sparse-dense-mode
> peer default ip address dhcp-pool POOL_ADM
> ppp authentication ms-chap-v2

а что бы с шифрованием - нужно менять IOS? Так получается ? или можно как-то

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "VPN"  +/
Сообщение от j_vw on 04-Дек-09, 21:50 
>
>а что бы с шифрованием - нужно менять IOS? Так получается ?
>или можно как-то

IMHO, поменяйте IOS
https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi?az=li...

Там есть рабочие ссылки ;)

И поставьте на домашний комп Cis VPN Client.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "VPN"  +/
Сообщение от GnomS (ok) on 10-Дек-09, 13:11 
Спасибо за инфу. Залил c2600-advsecurityk9-mz.123-26. Это последнее что можно залить на мою железку (как я понял). Подскажите как лучше настроить теперь VPN с индентификацией на RADIUS сервере. Внутри сети есть сервер Win2008R2 с установленной на нем ролью NPS. Там в частности есть и RADIUS сервер. Сам пока не пробовал с ним работать. Заранее спасибо.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру