https://opennet.ru/openforum/vsluhforumID6/18746.html Помогите плиз... Никак не могу настроить VPN. Задача стоит следующая.<br><br>Нужно на Cisco 2800 настроить pptp VPN таким образом чтобы он изнутри пускал наружу.<br>То-есть пользователь из локальной сети логиниться на циску получает pptp-коннект с маршрутизируемым адресом и таким образом выходит в интернет.<br><br>Для начала пользователи хронятся локально на самой циске.<br>Пул адресов тоже один. Я взял для тестов локальную сеть 10.0.16.0/24<br><br>Проблема в следующем:<br>Если я пингую клиенский хост который получил адрес скажем 10.0.16.15 то пинги проходят.<br>А если я хочу пустить пинг с 10.0.16.15 куда-либо то пакеты долетают до шлюза 10.0.16.2<br><br>version 12.3 <br>service timestamps debug datetime msec<br>service timestamps log datetime msec <br>no service password-encryption <br>! <br>hostname VPN <br>! <br>boot-start-marker <br>boot-end-marker <br>! https://opennet.ru/openforum/vsluhforumID6/18746.html#10 Tue, 23 Mar 2010 18:20:09 GMT А не разъяснить ли кто следующее: насколько я понимаю, при поднятии vpn сервиса циска будет "слушать" подключения на всех своих интерфейсах? Если это так, то как заставить слушать только на конкретном интерфейсе? Или надо просто приклеить ко всем остальным ифейсам входящие acl с запретом tcp/1723 и gre?<br><br>Заранее спасибо.<br> https://opennet.ru/openforum/vsluhforumID6/18746.html#9 Mon, 25 May 2009 07:51:45 GMT Огромное спасибо....<br><br> https://opennet.ru/openforum/vsluhforumID6/18746.html#8 Fri, 22 May 2009 14:35:49 GMT &gt;Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный <br>&gt;Вашему конфиг с доступом из интернета по VPN к внутренней <br>&gt;сети компании. <br>&gt;<br>&gt;Заранее спасибо. <br><br>Реализация для PPTP & L2TP<br><br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication ppp default local<br>!<br>ip name-server СВОЙ<br><br>vpdn enable<br>!<br>vpdn-group 1<br>! Default PPTP VPDN group<br> accept-dialin<br> protocol pptp<br> virtual-template 1<br>!<br>vpdn-group 2<br>! Default L2TP VPDN group<br> accept-dialin<br> protocol l2tp<br> virtual-template 2<br> lcp renegotiation on-mismatch<br> l2tp security crypto-profile L2TP<br> no l2tp tunnel authentication<br> ip pmtu<br> ip mtu adjust<br><br>async-bootp dns-server СВОЙ<br>async-bootp nbns-server СВОЙ<br><br>username СВОИ<br><br>crypto isakmp policy 100<br> hash md5<br> authentication pre-share<br><br>crypto isakmp key СВОЙ address 0.0.0.0 0.0.0.0<br><br>crypto ipsec transform-set L2TP esp-des esp-md5-hmac <br> mode transport<br><br>crypto map L2TP 100 ipsec-isakmp profile L2TP <br> set transform-set L2TP <br><br><br> https://opennet.ru/openforum/vsluhforumID6/18746.html#7 Fri, 22 May 2009 11:33:25 GMT <br>&gt;все заработало. и даже внешние ip повесил. <br>&gt;единственное чего так и не удалось запинать - так это что бы <br>&gt;разным польлзователям разные пулы выдовались. <br><br>Для этого поднять какой нить радиус сервер надо - штатными средствами циски никак. <br> https://opennet.ru/openforum/vsluhforumID6/18746.html#6 Fri, 22 May 2009 10:28:03 GMT &gt;Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный <br>&gt;Вашему конфиг с доступом из интернета по VPN к внутренней <br>&gt;сети компании. <br>&gt;<br>&gt;Заранее спасибо. <br><br>То же самое, только <br><br>interface Virtual-Template1<br><br>ip unnumbered " LAN интерфейс "<br> https://opennet.ru/openforum/vsluhforumID6/18746.html#5 Wed, 20 May 2009 12:03:46 GMT Если Вам не трудно, не могли бы выложить посмотреть как оформляется обратный Вашему конфиг с доступом из интернета по VPN к внутренней сети компании.<br><br>Заранее спасибо.<br> https://opennet.ru/openforum/vsluhforumID6/18746.html#4 Mon, 04 May 2009 03:40:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;interface Virtual-Template1 <br>&gt;&gt;ip unnumbered GigabitEthernet0/1 <br>&gt;&gt;<br>&gt;&gt;И чего интерфейс GigabitEthernet0/1 в шатдауне? <br>&gt;<br>&gt;адреса серые взял просто для тестирования. как все отлажу подсуну пул с <br>&gt;реальными. <br>&gt;<br>&gt;интерфейс в дауне - это не верно... исправлю проверю как работать будет. <br>&gt;о результатах отпишу. <br><br>все заработало. и даже внешние ip повесил.<br>единственное чего так и не удалось запинать - так это что бы разным польлзователям разные пулы выдовались.<br><br><br>кто-нибудь знает как это нарулить?<br><br>я делал так:<br><br>aaa new-model<br>!<br>!<br>aaa authentication ppp default local<br>!<br>aaa attribute list poolLAN<br> attribute type addr-pool "VPN-IN" service ppp protocol ip<br><br><br><br>username vvv secret 5 $1$TP<br>username user secret 5 $1$JC1<br>username user aaa attribute list poolLAN<br><br>ip local pool VPN-IN yyy.yyy.yyy.10 yyy.yyy.yyy.20<br>ip local pool TEST xxx.xxx.xxx.165 xxx.xxx.xxx.185<br><br><br>как видно из конфига по задумке юсер vvv должне ходить через пул TEST (он нарулен как дефолтный) а https://opennet.ru/openforum/vsluhforumID6/18746.html#3 Mon, 27 Apr 2009 18:22:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; peer default ip address pool VPN-IN <br>&gt;&gt;&gt;! <br>&gt;&gt;&gt;ip local pool VPN 10.0.16.10 10.0.16.20 <br>&gt;&gt;<br>&gt;&gt;Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT. <br>&gt;<br>&gt;interface Virtual-Template1 <br>&gt;ip unnumbered GigabitEthernet0/1 <br>&gt;<br>&gt;И чего интерфейс GigabitEthernet0/1 в шатдауне? <br><br>адреса серые взял просто для тестирования. как все отлажу подсуну пул с реальными.<br><br>интерфейс в дауне - это не верно... исправлю проверю как работать будет. о результатах отпишу.<br><br> https://opennet.ru/openforum/vsluhforumID6/18746.html#2 Mon, 27 Apr 2009 14:48:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt; speed auto <br>&gt;&gt;! <br>&gt;&gt;interface Virtual-Template1 <br>&gt;&gt; ip unnumbered GigabitEthernet0/1 <br>&gt;&gt; ip mroute-cache <br>&gt;&gt; peer default ip address pool VPN-IN <br>&gt;&gt;! <br>&gt;&gt;ip local pool VPN 10.0.16.10 10.0.16.20 <br>&gt;<br>&gt;Клиенты с "серыми" адресами. Для доступа в интернет надо настроить NAT. <br><br>interface Virtual-Template1<br>ip unnumbered GigabitEthernet0/1<br><br>И чего интерфейс GigabitEthernet0/1 в шатдауне?<br>