[es] - Remote dial-in users VPN config on Cisco Router

spriggan13

Član broj: 171791
Poruke: 20
*.neobee.net.

Profil

Remote dial-in users VPN config on Cisco Router

^{13.12.2008. u 17:53 - pre 187 meseci}

Cao ljudi

Imam jednu zanimaciju, a to je da trebam da konfigurisem VPN-a na Cisco ruteru, da prihvata konekcije od remote usera.
Prelistao sam brda pdf-ova sa Cisco sajta ali mi jos uvek nije jasno..pa ako moze mala pomoc.

Dakle, zadatak je da :

1. Omoguciti korisnicima da se preko VPN-a nakace na firminu mrezu.
2. Uraditi autentifikaciju preko RADIUS servera
3. Iskoristiti L2TP/IPSec sa pre-shared key-em.
4. ..mozda jos nesto

Ja sam nesto piskarao, pa Vi bacite pogled i recite sta valja/ ne valja.. ako neko ima vec odradjen konfig mozda da ga postuje i sl.

...........................RESENO....MOZDA :)

E sad....ne znam tacno sta i kako.
Deo oko ruta i sl. stvari sam preskocio...
U Cisco-voj dokumentaciji se spominje mali milion nekih stvari (interface virtual-template x = sta je sad pa jos i ovo?) pa ako neko moze malo da mi pomogne oko ovoga bilo bi strava :)

_{[Ovu poruku je menjao spriggan13 dana 14.12.2008. u 13:43 GMT+1]}

Odgovor na temu

MCM
Bgd

Član broj: 19001
Poruke: 31
*.adsl.beocity.net.

Profil

Re: Remote dial-in users VPN config on Cisco Router

^{17.12.2008. u 10:12 - pre 187 meseci}

Prvo, nisi rekao o kojem se ruteru radi.

Drugo, nigde ne vidim to sto si ti pisao

Trece, ne znam zasto bi se patio sa CLI posto ga verovatno ne poznajes kako treba. Lepo idi na GUI pokreni wizarda za VPN reci da konfigurises remote access i dalje ce ti biti jasno ako se malo razumes u mreze.
Sto se tice radiusa pretpostavljam da imas vec podignut win2003 u firmi, konfigurisi RADIUS na njemu, idi do routera, PRE nego sto pokrenes wizard za VPN reci gde se nalazi radius i podesi pristupne parametre, ostalo ce biti lako.

Mislim pitanje je malo kompleksno, tako da je tesko dati konkretan odgovor, ali ako si stvarno zainteresovan da to uradis, ove smernice iznad su ti dovoljne. Kasnije kada to budes zavrsio obrati paznju na NAT - T i na menagment access da bi ti eventualno mogao da administriras mrezu spolja i to ti je to...

Pozdrav!

Odgovor na temu

spriggan13

Član broj: 171791
Poruke: 20
82.117.195.*

Profil

Re: Remote dial-in users VPN config on Cisco Router

^{18.12.2008. u 08:25 - pre 187 meseci}

Hvala na odgovoru.

U pitanju je cisco 2821, a sto se tice configa..pa obrisao sam ga..napisa sam na sredini (reseno..mozda), posto mislim da sam resio.
Ako hoces mogu da ti posaljem PM sa onim sto sam napisao, pa mi kazi da li je to - to.
Sa CLI se...ne mlatim:) a GUI necu da ukljucujem, posto je CLI razumljiv i intuitivan...osim par stavki :)
Naravno, nakon sto procitam par hiljada uputstava :)

Nego, VPN site-to-site L2TP/IPSec sa pre-shared key mi nije problem, ali sa remote access nisam radio.
Sastavio sam config za koji mislim da ce raditi, samo ga jos uvek nisam isprobao, pa me cisto interesuje misljenje da li bi to radilo.
Ima jedan deo koji mi nije jasan, pa sam hteo unapred da mi neko kaze da li je to dobro ili ne.

Postovacu ga kasnije, pa ako mozes ti mi kazi sta mislis.

Cao

Test#sh run
Building configuration...

Current configuration : 3225 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Test
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxx
!
aaa new-model
!
!
aaa authentication login AUTHENTICATION group radius
aaa authentication login NO_AUTHENTICATION local
aaa authorization network AUTHORIZAYION group radius
aaa authorization network AUTHORIZATION if-authenticated group radius

!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
!
!
ip domain name nesto.com
ip name-server 192.168.1.1
ip ssh time-out 60
ip ssh authentication-retries 2
no ip ips deny-action ips-interface
!
!
vpdn enable
!
vpdn-group VPN_IT
Default vpdn group
accept-dialin
protocol l2tp
virtual-template 2
no virtual-template snmp
!
!
!
!
!
!
!
!
!
!
!
!
!
username test password 7 123131314253253
!
!
!
crypto isakmp policy 1
encr des
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp client configuration group VPN_IT
key dsafdavfvafvafavag
dns 192.168.1.1
pool VPN_IT
!
crypto isakmp profile VPN_IT
match identity group VPN_IT
client authentication list AUTHENTICATION
isakmp authorization list AUTHORIZATION
virtual-template 2
!
!
crypto ipsec transform-set VPN_SECURITY esp-des esp-sha-hmac
!
crypto dynamic-map VPN_IT
set transform-set VPN_SECURITY
set isakmp-profile VPN_IT
!
crypto map VPN_IT 10 ipsec-isakmp dynamic VPN_IT
!
!
!
interface Loopback2
description VPN_IT
ip address 85.135.55.x 255.255.255.255
!
interface FastEthernet0/0
description INTERNET
ip address 85.139.x.x 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex half
no cdp enable
!
interface FastEthernet1/0
description Lokalna
ip address 192.168.x.x 255.255.255.0
ip nat inside
duplex half
no cdp enable
!
interface Virtual-Template2
ip unnumbered Loopback2
no logging event link-status
crypto map VPN_IT
!
ip local pool VPN_IT 192.168.100.x 192.168.100.x
ip classless
no ip http server
no ip http secure-server
!
!
ip nat inside source ......itd.
!
!
!
!
radius-server host 192.168.1.x auth-port xxxx acct-port xxxx key 7 35363f45
!
control-plane
!
!
!
!
!
!
gatekeeper
shutdown
!
line con 0
stopbits 1
line aux 0
line vty 0 1
login authentication NO_AUTHENTICATION
transport input ssh
line vty 2 4
!
!
end

Test#

_{[Ovu poruku je menjao spriggan13 dana 19.12.2008. u 15:58 GMT+1]}

Odgovor na temu