Настройка L2TP сервера на Cisco

[RomA]

Задача:
Настроить VPN L2TP сервер для доступа из дома в сеть компании.

Вводные:
Пользователь: testvpn
Пароль: 12345678
IP-адрес, который должен получить пользователь: 192.168.0.30
Локальная сеть компании: 192.168.0.0/24
Интернетовский интерфейс cisco: GigabitEthernet0/0
Локальный интерфейс cisco: GigabitEthernet0/1
Общий ключ IPSec: 2222222
IP-адрес пользователя в интернет: 1.1.1.1


Решение:
Для начала разберемся с пользователями. Я буду прописывать каждому пользователю персональный IP-адрес для простоты разбора полётов, если пользователь накосячит. Конечно, данные IP должны быть исключены из DHCP.
Следует понимать, что при такой схеме корректно будет работать только одно VPN соединение, так как любое новое соединение под этим пользователем будет получать тот же IP.

Код: Выделить всё

aaa authentication ppp default local
username testvpn privilege 0 password 0 12345678
username testvpn aaa attribute list TESTVPN
aaa attribute list TESTVPN
attribute type addr 192.168.0.30 service vpdn protocol ip

Поднимем VPN сервис:

Код: Выделить всё

vpdn enable
!
vpdn-group 1
 ! Default L2TP VPDN group
 ! Default PPTP VPDN group
 description VPDN_Group
 accept-dialin
  protocol any
  virtual-template 1
 no l2tp tunnel authentication
 l2tp tunnel timeout no-session 15

Перейдём к шифрованию:

Код: Выделить всё

crypto keyring keyring_ltp
  pre-shared-key address 0.0.0.0 0.0.0.0 key 22222222
!
crypto isakmp policy 1
 encr 3des
 hash md5
 group 5
!
crypto isakmp policy 2
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800

Ну и вторая фаза. Тут я прописываю конкретный IP-адрес, с которого пользователь сможет установить VPN-соединение. Тут можно написать 0.0.0.0 0.0.0.0 и тогда доступ будет с любого адреса в интернете, но мне надо ограничить пользователя только его средой обитания.

Код: Выделить всё

crypto isakmp profile L2TP
   keyring keyring_ltp
   match identity address 1.1.1.1 255.255.255.255
!
crypto ipsec transform-set myset_windows3 esp-3des esp-sha-hmac
 mode transport
!
crypto dynamic-map mydyn 1000
 set transform-set myset_windows3
 set isakmp-profile L2TP
 reverse-route
!
crypto map myipsec 100 ipsec-isakmp dynamic mydyn

Теперь повесим криптомап на интернетовский интефейс:

Код: Выделить всё

interface GigabitEthernet0/0
 crypto map myipsec

Ну и создадим интерфейс vpn:

Код: Выделить всё

interface Virtual-Template1
 description PPTP_FOR_CLIENTS
 ip unnumbered GigabitEthernet0/1
 ip mtu 1400
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1400
 peer default ip address pool pptppool_for_clients
 keepalive 5
 ppp encrypt mppe auto
 ppp authentication ms-chap ms-chap-v2
 ppp ipcp dns 192.168.0.1 8.8.8.8

Ну и на последок:

Код: Выделить всё

access-list 100 permit ip 192.168.0.0 0.0.0.255 any

Теперь можно подключиться под пользователем и проверить, что всё работает.

[RomA]

За основу берём предыдущую статью и модифицируем для авторизации пользователей в Radius. В моём случае это FreeRadius.
Удаляем существующую авторизацию и пользователя:

Код: Выделить всё

no aaa authentication ppp default local
no username testvpn privilege 0 password 0 12345678

И добавляем новое:

Код: Выделить всё

aaa authentication ppp default group radius local
radius-server host 192.168.0.2 auth-port 1812 acct-port 1813
radius-server key 3333333

Где 192.168.0.2 - ip-адрес radius сервера
3333333 - пароль к нему для шифрования