forum.opennet.ru

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Оборудование для надомного сотрудника, RET (ok), 16-Ноя-09, (0) [смотреть все]

Если провайдер режет gre, с целью продать больше реал ИПовто циски вам не помогу, ДорогойДрук (?), 13:40 , 16-Ноя-09, (1) //

Не думаю что провайдер режет GRE А смысл, мне нужен не VPN на его компьютере, а , RET (ok), 13:47 , 16-Ноя-09, (2) //

это для проверки зарезания гревы же не хотите купить железяку, а потом обломатьс, ДорогойДрук (?), 13:51 , 16-Ноя-09, (3) //

А что за железка GRE проверю в ближайшее время, RET (ok), 13:56 , 16-Ноя-09, (4)

Опенвпн умеет любой роутер с прошивкой опенврт или подобной Ставить придется 2шт, ДорогойДрук (?), 14:07 , 16-Ноя-09, (5)

Ставить в офисе ещё одну железку - не вариант Ставить дома циску - дорого таки, RET (ok), 14:15 , 16-Ноя-09, (6)

Какадо обычно этим грешит, да А это мысль Если линксис не заведется через нат, , ДорогойДрук (?), 14:24 , 16-Ноя-09, (7)

А софтовое решение клиентской части вас не устроит Настроить 2800 в качестве Ea, Stell (??), 14:52 , 16-Ноя-09, (8) //

Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и 4500 UD, RET (ok), 15:32 , 16-Ноя-09, (9) //

Чем не вариант поднять EasyVPN server на 2800 А в EasyVPN клиенте можно транспо, Николай (??), 17:01 , 16-Ноя-09, (10)
Не совсем Нормальный нат все и так понимает Что попробовать то мешает У меня, , j_vw (?), 19:31 , 16-Ноя-09, (11)
Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны кл, Stell (??), 19:40 , 16-Ноя-09, (12) //

gt оверквотинг удален Хм, а как указывать peer в криптомапе тогда на 2800 , RET (ok), 19:45 , 16-Ноя-09, (13)

Для Cisco VPN Client читайте EzVPN EasyVPN Например http www cisco com en U, Stell (??), 19:59 , 16-Ноя-09, (14)

Ну, скорее ЭТО больше подходит http www ciscolab ru 2007 03 14 router_vpn_stic, j_vw (?), 20:09 , 16-Ноя-09, (15)
Собрал по кусочкам из интернета и мануаловНастройки на 2800 crypto keyring spok, RET (ok), 23:19 , 16-Ноя-09, (16)

Вот ведь упрямый человек Говорят ему - есть стандартное, провереное решение дл, j_vw (?), 01:12 , 17-Ноя-09, (18)

Ткните носом, как Cisco VPN Client соединит домашнюю сетку 24 в которой кроме с, RET (ok), 10:05 , 17-Ноя-09, (19)

под crypto dynamic-map dynmap 10 match address VPN_ACLip access-list extended, Stell (??), 10:17 , 17-Ноя-09, (21)

Прошу прощения, office_lan и home_lan в ACL перепутал местами , Stell (??), 10:18 , 17-Ноя-09, (22)

Не нужно только привязываться к home_lan Они - любые crypto isakmp clie, j_vw (?), 19:39 , 17-Ноя-09, (24)

Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится чере, Dr.Bier (?), 00:36 , 17-Ноя-09, (17) //

Вариан с nat-ится не подходит, RET (ok), 10:06 , 17-Ноя-09, (20) //

Как вариант можно поставить самую простую железку 851 с опцией nem extended Как, Николай (??), 10:43 , 17-Ноя-09, (23)

Сообщения [Сортировка по времени | RSS]

9. "Оборудование для надомного сотрудника" +/–

Сообщение от RET (ok), 16-Ноя-09, 15:32

>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>в UDP для хождения через NAT)
Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и 4500 UDP порты на этот роутер, или я не прав?

Ответить | Правка | Наверх | Cообщить модератору

10. "Оборудование для надомного сотрудника" +/–

Сообщение от Николай (??), 16-Ноя-09, 17:01

Чем не вариант поднять EasyVPN server на 2800? А в EasyVPN клиенте можно транспорт на tcp порты повесить.

Ответить | Правка | Наверх | Cообщить модератору

11. "Оборудование для надомного сотрудника" +/–

Сообщение от j_vw (?), 16-Ноя-09, 19:31

>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>>в UDP для хождения через NAT)
>
>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>4500 UDP порты на этот роутер, или я не прав?
Не совсем. Нормальный нат все и так понимает.
Что попробовать то мешает?
У меня, например, было только 2 случая (из нескольких сотен точек подключения), когда Cisco VPN client (по UDP) у мобильного клиента не работал...Один, где то в Словакии, второй где то в Турции...

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

12. "Оборудование для надомного сотрудника" +/–

Сообщение от Stell (??), 16-Ноя-09, 19:40

>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются
>>в UDP для хождения через NAT)
>
>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>4500 UDP порты на этот роутер, или я не прав?
Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента, а "проброс порта" для пакетов которые возвращаются в ответ у провайдера произойдет автоматически, именно в этом и заключается суть NAT. Проверить без железа можно тем же Cisco VPN Client'ом, который использует NAT-T с теми же портами 500, 4500.
Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не замечено.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Оборудование для надомного сотрудника" +/–

Сообщение от RET (ok), 16-Ноя-09, 19:45

>[оверквотинг удален]
>>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и
>>4500 UDP порты на этот роутер, или я не прав?
>
>Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента,
>а "проброс порта" для пакетов которые возвращаются в ответ у провайдера
>произойдет автоматически, именно в этом и заключается суть NAT. Проверить без
>железа можно тем же Cisco VPN Client'ом, который использует NAT-T с
>теми же портами 500, 4500.
>Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не
>замечено.
Хм, а как указывать peer в криптомапе тогда на 2800?

Ответить | Правка | Наверх | Cообщить модератору

14. "Оборудование для надомного сотрудника" +/–

Сообщение от Stell (??), 16-Ноя-09, 19:59

>Хм, а как указывать peer в криптомапе тогда на 2800?
Для Cisco VPN Client читайте EzVPN (EasyVPN). Например:
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Для любой железки с NAT-T почитайте про crypto dynamic-map.

Ответить | Правка | Наверх | Cообщить модератору

15. "Оборудование для надомного сотрудника" +/–

Сообщение от j_vw (?), 16-Ноя-09, 20:09

Ну, скорее ЭТО больше подходит:
http://www.ciscolab.ru/2007/03/14/router_vpn_stick.html
Только без VPN-на-палочке....
Лень искать...Были нормальные описания...
Пусть начинает с этого, а специфику (передача клиенту только нужных сетей и т.д) уже потом...

Ответить | Правка | Наверх | Cообщить модератору

16. "Оборудование для надомного сотрудника" +/–

Сообщение от RET (ok), 16-Ноя-09, 23:19

>Для любой железки с NAT-T почитайте про crypto dynamic-map.
Собрал по кусочкам из интернета и мануалов
Настройки на 2800:
!
crypto keyring spokes
  pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp profile L2L
   description LAN-to-LAN for spoke router connection
   keyring spokes
   match identity address 0.0.0.0
!
!
crypto ipsec transform-set myset esp-3des esp-sha-hmac
!
crypto dynamic-map dynmap 10
set transform-set myset
set isakmp-profile L2L
!
!
crypto map mymap 10 ipsec-isakmp dynamic dynmap
Настройки на Linksys или D-link (например)
Local Secure Group:  домашняя_сеть/24
Remote Secure Group: корпоративная_сеть/16
Remote Secure Gateway: внешний_IP_cisco_2800
и галочка NAT-T
при таком конфиге не совсем понятно как 2800 определяет какие сети ей шифровать и заворачивать в IPSec туннель

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

18. "Оборудование для надомного сотрудника" +/–

Сообщение от j_vw (?), 17-Ноя-09, 01:12

>>Для любой железки с NAT-T почитайте про crypto dynamic-map.
>
>Собрал по кусочкам из интернета и мануалов
Вот ведь упрямый человек ;)
Говорят ему - есть стандартное, провереное решение для удаленных пользователей...
Нет....Он что то "по кусочкам" собирает ;) И длинки мучает....
Кодовое слово Cisco VPN Client.
Если нет желания искать - вот вариант альтернативы:
http://habrahabr.ru/blogs/infosecurity/71077/
Сам не пробовал....
Не изобретайте велосипед ;)
Точнее - Изобретайте, но САМОСТОЯТЕЛЬНО.

Ответить | Правка | Наверх | Cообщить модератору

19. "Оборудование для надомного сотрудника" +/–

Сообщение от RET (ok), 17-Ноя-09, 10:05

>Нет....Он что то "по кусочкам" собирает ;) И длинки мучает....
>
>Кодовое слово Cisco VPN Client.
>Если нет желания искать - вот вариант альтернативы:
>http://habrahabr.ru/blogs/infosecurity/71077/
>Сам не пробовал....
Ткните носом, как Cisco VPN Client соединит домашнюю сетку /24 в которой кроме самого копьютера ещё кучка устройств, с корпоративной сетью. Тем более речь идет о железном устройстве, а не о комьютере.

Ответить | Правка | Наверх | Cообщить модератору

21. "Оборудование для надомного сотрудника" +/–

Сообщение от Stell (??), 17-Ноя-09, 10:17

>crypto dynamic-map dynmap 10
>set transform-set myset
>set isakmp-profile L2L
>при таком конфиге не совсем понятно как 2800 определяет какие сети ей
>шифровать и заворачивать в IPSec туннель
под "crypto dynamic-map dynmap 10"
match address VPN_ACL
ip access-list extended VPN_ACL
permit ip <home_lan> <wildcard_mask> <office_lan> <wildcard_mask>

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

22. "Оборудование для надомного сотрудника" +/–

Сообщение от Stell (??), 17-Ноя-09, 10:18

Прошу прощения, office_lan и home_lan в ACL перепутал местами.

Ответить | Правка | Наверх | Cообщить модератору

24. "Немного поправлю" +/–

Сообщение от j_vw (?), 17-Ноя-09, 19:39

>Прошу прощения, office_lan и home_lan в ACL перепутал местами.
Не нужно только привязываться к "home_lan".... Они  - любые...
crypto isakmp client configuration group %GROUP%
key %KEY%
pool %POOL%
acl EasyVPN
include-local-lan
netmask 255.255.255.0
ip access-list extended EasyVPN
permit ip %Office_net_addr% 0.0.0.255 any
permit ip %Office2_net_addr% 0.0.0.255 any
Эти сети появятся в винде с роутом в ВПН. Остальное - по дефолтному маршруту.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	9. "Оборудование для надомного сотрудника"	+/–
	Сообщение от RET (ok), 16-Ноя-09, 15:32
	>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются >в UDP для хождения через NAT) Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и 4500 UDP порты на этот роутер, или я не прав?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Оборудование для надомного сотрудника"	+/–
	Сообщение от Николай (??), 16-Ноя-09, 17:01
	Чем не вариант поднять EasyVPN server на 2800? А в EasyVPN клиенте можно транспорт на tcp порты повесить.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Оборудование для надомного сотрудника"	+/–
	Сообщение от j_vw (?), 16-Ноя-09, 19:31
	>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются >>в UDP для хождения через NAT) > >Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и >4500 UDP порты на этот роутер, или я не прав? Не совсем. Нормальный нат все и так понимает. Что попробовать то мешает? У меня, например, было только 2 случая (из нескольких сотен точек подключения), когда Cisco VPN client (по UDP) у мобильного клиента не работал...Один, где то в Словакии, второй где то в Турции...
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	12. "Оборудование для надомного сотрудника"	+/–
	Сообщение от Stell (??), 16-Ноя-09, 19:40
	>>Либо гуглить любой роутер с поддержкой IPSec + NAT-Traversal (ESP пакеты оборачиваются >>в UDP для хождения через NAT) > >Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и >4500 UDP порты на этот роутер, или я не прав? Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента, а "проброс порта" для пакетов которые возвращаются в ответ у провайдера произойдет автоматически, именно в этом и заключается суть NAT. Проверить без железа можно тем же Cisco VPN Client'ом, который использует NAT-T с теми же портами 500, 4500. Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не замечено.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	13. "Оборудование для надомного сотрудника"	+/–
	Сообщение от RET (ok), 16-Ноя-09, 19:45
	>[оверквотинг удален] >>Но как я понимаю для работы NAT-Traversal нужно будет пробрасывать 500 и >>4500 UDP порты на этот роутер, или я не прав? > >Инициатор подключения - клиент, первый пакет наружу пройдет именно со стороны клиента, >а "проброс порта" для пакетов которые возвращаются в ответ у провайдера >произойдет автоматически, именно в этом и заключается суть NAT. Проверить без >железа можно тем же Cisco VPN Client'ом, который использует NAT-T с >теми же портами 500, 4500. >Активно использую в конторе для удаленного доступа нескольких десятков сотрудников, проблем не >замечено. Хм, а как указывать peer в криптомапе тогда на 2800?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Оборудование для надомного сотрудника"	+/–
	Сообщение от Stell (??), 16-Ноя-09, 19:59
	>Хм, а как указывать peer в криптомапе тогда на 2800? Для Cisco VPN Client читайте EzVPN (EasyVPN). Например: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... Для любой железки с NAT-T почитайте про crypto dynamic-map.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Оборудование для надомного сотрудника"	+/–
	Сообщение от j_vw (?), 16-Ноя-09, 20:09
	Ну, скорее ЭТО больше подходит: http://www.ciscolab.ru/2007/03/14/router_vpn_stick.html Только без VPN-на-палочке.... Лень искать...Были нормальные описания... Пусть начинает с этого, а специфику (передача клиенту только нужных сетей и т.д) уже потом...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Оборудование для надомного сотрудника"	+/–
	Сообщение от RET (ok), 16-Ноя-09, 23:19
	>Для любой железки с NAT-T почитайте про crypto dynamic-map. Собрал по кусочкам из интернета и мануалов Настройки на 2800: ! crypto keyring spokes pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678 ! crypto isakmp policy 10 encr aes 256 authentication pre-share group 2 crypto isakmp client configuration address-pool local dynpool crypto isakmp profile L2L description LAN-to-LAN for spoke router connection keyring spokes match identity address 0.0.0.0 ! ! crypto ipsec transform-set myset esp-3des esp-sha-hmac ! crypto dynamic-map dynmap 10 set transform-set myset set isakmp-profile L2L ! ! crypto map mymap 10 ipsec-isakmp dynamic dynmap Настройки на Linksys или D-link (например) Local Secure Group: домашняя_сеть/24 Remote Secure Group: корпоративная_сеть/16 Remote Secure Gateway: внешний_IP_cisco_2800 и галочка NAT-T при таком конфиге не совсем понятно как 2800 определяет какие сети ей шифровать и заворачивать в IPSec туннель
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	18. "Оборудование для надомного сотрудника"	+/–
	Сообщение от j_vw (?), 17-Ноя-09, 01:12
	>>Для любой железки с NAT-T почитайте про crypto dynamic-map. > >Собрал по кусочкам из интернета и мануалов Вот ведь упрямый человек ;) Говорят ему - есть стандартное, провереное решение для удаленных пользователей... Нет....Он что то "по кусочкам" собирает ;) И длинки мучает.... Кодовое слово Cisco VPN Client. Если нет желания искать - вот вариант альтернативы: http://habrahabr.ru/blogs/infosecurity/71077/ Сам не пробовал.... Не изобретайте велосипед ;) Точнее - Изобретайте, но САМОСТОЯТЕЛЬНО.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Оборудование для надомного сотрудника"	+/–
	Сообщение от RET (ok), 17-Ноя-09, 10:05
	>Нет....Он что то "по кусочкам" собирает ;) И длинки мучает.... > >Кодовое слово Cisco VPN Client. >Если нет желания искать - вот вариант альтернативы: >http://habrahabr.ru/blogs/infosecurity/71077/ >Сам не пробовал.... Ткните носом, как Cisco VPN Client соединит домашнюю сетку /24 в которой кроме самого копьютера ещё кучка устройств, с корпоративной сетью. Тем более речь идет о железном устройстве, а не о комьютере.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Оборудование для надомного сотрудника"	+/–
	Сообщение от Stell (??), 17-Ноя-09, 10:17
	>crypto dynamic-map dynmap 10 >set transform-set myset >set isakmp-profile L2L >при таком конфиге не совсем понятно как 2800 определяет какие сети ей >шифровать и заворачивать в IPSec туннель под "crypto dynamic-map dynmap 10" match address VPN_ACL ip access-list extended VPN_ACL permit ip <home_lan> <wildcard_mask> <office_lan> <wildcard_mask>
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору


	22. "Оборудование для надомного сотрудника"	+/–
	Сообщение от Stell (??), 17-Ноя-09, 10:18
	Прошу прощения, office_lan и home_lan в ACL перепутал местами.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Немного поправлю"	+/–
	Сообщение от j_vw (?), 17-Ноя-09, 19:39
	>Прошу прощения, office_lan и home_lan в ACL перепутал местами. Не нужно только привязываться к "home_lan".... Они - любые... crypto isakmp client configuration group %GROUP% key %KEY% pool %POOL% acl EasyVPN include-local-lan netmask 255.255.255.0 ip access-list extended EasyVPN permit ip %Office_net_addr% 0.0.0.255 any permit ip %Office2_net_addr% 0.0.0.255 any Эти сети появятся в винде с роутом в ВПН. Остальное - по дефолтному маршруту.
	Ответить \| Правка \| Наверх \| Cообщить модератору