Настройка L2TP сервера на Cisco
Добавлено: 22 фев 2020, 18:54
Задача:
Настроить VPN L2TP сервер для доступа из дома в сеть компании.
Вводные:
Пользователь: testvpn
Пароль: 12345678
IP-адрес, который должен получить пользователь: 192.168.0.30
Локальная сеть компании: 192.168.0.0/24
Интернетовский интерфейс cisco: GigabitEthernet0/0
Локальный интерфейс cisco: GigabitEthernet0/1
Общий ключ IPSec: 2222222
IP-адрес пользователя в интернет: 1.1.1.1
Решение:
Для начала разберемся с пользователями. Я буду прописывать каждому пользователю персональный IP-адрес для простоты разбора полётов, если пользователь накосячит. Конечно, данные IP должны быть исключены из DHCP.
Следует понимать, что при такой схеме корректно будет работать только одно VPN соединение, так как любое новое соединение под этим пользователем будет получать тот же IP.
Поднимем VPN сервис:
Перейдём к шифрованию:
Ну и вторая фаза. Тут я прописываю конкретный IP-адрес, с которого пользователь сможет установить VPN-соединение. Тут можно написать 0.0.0.0 0.0.0.0 и тогда доступ будет с любого адреса в интернете, но мне надо ограничить пользователя только его средой обитания.
Теперь повесим криптомап на интернетовский интефейс:
Ну и создадим интерфейс vpn:
Ну и на последок:
Теперь можно подключиться под пользователем и проверить, что всё работает.
Настроить VPN L2TP сервер для доступа из дома в сеть компании.
Вводные:
Пользователь: testvpn
Пароль: 12345678
IP-адрес, который должен получить пользователь: 192.168.0.30
Локальная сеть компании: 192.168.0.0/24
Интернетовский интерфейс cisco: GigabitEthernet0/0
Локальный интерфейс cisco: GigabitEthernet0/1
Общий ключ IPSec: 2222222
IP-адрес пользователя в интернет: 1.1.1.1
Решение:
Для начала разберемся с пользователями. Я буду прописывать каждому пользователю персональный IP-адрес для простоты разбора полётов, если пользователь накосячит. Конечно, данные IP должны быть исключены из DHCP.
Следует понимать, что при такой схеме корректно будет работать только одно VPN соединение, так как любое новое соединение под этим пользователем будет получать тот же IP.
Код: Выделить всё
aaa authentication ppp default local
username testvpn privilege 0 password 0 12345678
username testvpn aaa attribute list TESTVPN
aaa attribute list TESTVPN
attribute type addr 192.168.0.30 service vpdn protocol ip
Код: Выделить всё
vpdn enable
!
vpdn-group 1
! Default L2TP VPDN group
! Default PPTP VPDN group
description VPDN_Group
accept-dialin
protocol any
virtual-template 1
no l2tp tunnel authentication
l2tp tunnel timeout no-session 15
Код: Выделить всё
crypto keyring keyring_ltp
pre-shared-key address 0.0.0.0 0.0.0.0 key 22222222
!
crypto isakmp policy 1
encr 3des
hash md5
group 5
!
crypto isakmp policy 2
encr 3des
authentication pre-share
group 2
lifetime 28800
Код: Выделить всё
crypto isakmp profile L2TP
keyring keyring_ltp
match identity address 1.1.1.1 255.255.255.255
!
crypto ipsec transform-set myset_windows3 esp-3des esp-sha-hmac
mode transport
!
crypto dynamic-map mydyn 1000
set transform-set myset_windows3
set isakmp-profile L2TP
reverse-route
!
crypto map myipsec 100 ipsec-isakmp dynamic mydyn
Код: Выделить всё
interface GigabitEthernet0/0
crypto map myipsec
Код: Выделить всё
interface Virtual-Template1
description PPTP_FOR_CLIENTS
ip unnumbered GigabitEthernet0/1
ip mtu 1400
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1400
peer default ip address pool pptppool_for_clients
keepalive 5
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
ppp ipcp dns 192.168.0.1 8.8.8.8
Код: Выделить всё
access-list 100 permit ip 192.168.0.0 0.0.0.255 any