Как настроить маршрутизатор Cisco для работы в качестве VPN-сервера через PPTP. PPTP (Point-to-Point Tunneling Protocol) – один из протоколов туннелирования, применяемых при установке соединения PPP (Point-to-Point Protocol). При создании соединения по PPP, как следует из его названия, устанавливается соединения типа «точка-точка» через общую среду Ethernet. Начиная обмен данными, клиент и сервер PPTP обмениваются адресами и создают соединение, необходимое для работы сессии PPP.
Такой вариант подключения можно использовать для построения сетей с безопасным доступом. Маршруизатор Cisco используется в качестве сервера доступа VPN (через PPTP) и шлюза для доступа в Интернет. Каждому клиенту, подключающемуся по такой схеме, раздается IP-адрес из пула DHCP-сервера, затем происходит авторизация по PPTP. При правильной паре имя пользователя/пароль клиенту выдается также приватный ip адрес из сети 192.168.10.0 с маской подсети 255.255.255.0, который затем будет маршрутизироваться в Интернет с помощью NAT. Для субинтерфейсов используем инкапсуляцию dot1q. Такая схема подключения реализуется на маршрутизаторах Сisco серий 1700, 2600, 2800 и так далее (до 7500 и выше) с поддержкой VPN-функций в используемом Cisco IOS.
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group
radius enable
secret cisco enable password cisco
username admin password cisco
ip subnet-zero
no ip rcmd domain-lookup
ip domain-name router ip name-server 192.168.1.100
ip name-server 192.168.2.100
ip cef vpdn enable
vpdn-group 1 # PPTP VPDN-группа по умолчанию
accept-dialin protocol any
virtual-template 1
local name pptp_gateway
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
full-duplex
interface FastEthernet0/0.1 # субинтерфейс для соединения с RADIUS-сервером
encapsulation dot1Q 2
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0.2 # субинтерфейс для PPTP-клиентов
encapsulation dot1Q 3
ip address 192.168.1.1 255.255.255.0
no ip redirects
ip nat inside
pppoe enable
interface FastEthernet1/0 # внешний интерфейс, подключенный к провайдеру
ip address 212.45.32.145 255.255.252.0 # внешний IP-адрес маршрутизатора Cisco
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip route-cache cef
full-duplex
interface Virtual-Template1
ip unnumbered FastEthernet0/0.2
ip mtu 1492
ip nat inside autodetect encapsulation ppp
ppp authentication chap callin
ip nat inside source list 1 interface FastEthernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 212.45.32.1 # шлюз по умолчанию, указанный провайдером
ip radius source-interface FastEthernet0/0.1
access-list 1 permit 192.168.3.0 0.0.0.255
radius-server configure-nas
radius-server host 192.168.2.2 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server timeout 30
radius-server key 12345
Для клиентов в Windows XP создаем новое удаленное подключение через VPN, параметры – PPTP, авторизация по CHAP, без шифрования.
Источник: s0m0m.ru/?p=21
Комментариев нет:
Отправить комментарий