Cisco Router как L2TP Client

  Настройка Cisco 2800 как L2TP Client-а

Рабочий крнфиг:

service internal ! Обязятельная скрытая команда

ip cef

ip multicast-routing 

!

vpdn-group L2TP-STRONGVPN
 request-dialin
  protocol l2tp
  pool-member 1
 initiate-to ip 207.204.224.21
 no l2tp tunnel authentication

!

!        
crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2 
 lifetime 3600
crypto isakmp key _Password_ address 207.204.224.21
!        
!        
crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
 mode transport
!        
crypto map STRONGVPN 10 ipsec-isakmp
 set peer 207.204.224.21
 set transform-set ESP-AES256-SHA
 match address L2TP_SA_DIALER1
!        

interface FastEthernet0/0

description -= Local network =-
 ip address 172.16.44.44 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto

!

 interface FastEthernet0/1
 description -= Outside Interface =-
 ip address 77.91.xxx.yyy 255.255.255.240
 ip access-group INPUT_ACL in
 ip flow ingress
 ip flow egress

 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map STRONGVPN
!

interface Dialer1
 description -= VPN (StrongVPN) L2TP client =-
 ip address negotiated
 ip mtu 1492
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer vpdn
 dialer-group 1
 no cdp enable
 ppp chap hostname _USERNAME_
 ppp chap password  _Password_

!

ip route 0.0.0.0 0.0.0.0 Dialer1 ! Весь трафик заворачиваем в тунель
ip route 172.16.44.0 255.255.255.0 FastEthernet0/0
ip route 207.204.224.21 255.255.255.255 77.91.xxx.xxx  !на шлюз провайдерв
!

ip flow-top-talkers
 top 50
 sort-by bytes
 cache-timeout 30000
 match protocol udp
!         

ip nat translation timeout 30

!НАТ-им в адрес интерфейса Dialer1
ip nat inside source route-map map_IPSEC interface Dialer1 overload
! 

ip access-list extended INPUT_ACL
 permit ip host 207.204.224.21 host 77.91.xxx.yyy ! Разрешаем трафик между нашим интерфейсом и VPN сервером. Остально е запрещаем.
 deny   ip any any log

!

ip access-list extended L2TP_SA_DIALER1
 permit udp host 77.91.xxx.yyy eq 1701 host 207.204.224.21 eq 1701
 remark -= Razreshaem L2TP  =-

!

ip access-list extended VPN_IPSEC
 permit ip host 172.16.44.1 any
 permit ip host 172.16.44.44 any
 remark -= Vybyraem Local IP adresa korotye NAT-im =-
!

dialer-list 1 protocol ip permit

!

route-map map_IPSEC permit 10
 match ip address VPN_IPSEC
 match interface Dialer1
!

При таком конфиге весь трафик направляется в тунель.

Локальный трафик с адресов описанных в ip access-list extended VPN_IPSEC натится натится в адрес interface Dialer1 overload (получаем PAT).

Настройка на Cisco IOS IPSEC VPN для iPad-а и Cisco VPN Client-а

Есть Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)

Задача:
Необходимо настроить IPSEC VPN для удаленных пользователей с iPAD-ами и Cisco VPN Client-ами.

Рабочий конфиг ниже


username vpnuser1 secret
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPN_GROUP
 key !!!Тут пароль !!!
 dns 4.2.2.2
 pool POOL_FOR_VPN_USER
 save-password !!!! разрешаем сохранение пароля для username vpnuser1 !!!
 max-users 5
 netmask 255.255.255.0
!
crypto isakmp profile ISAKMP_PROFILE_1
   match identity group VPN_GROUP
   client authentication list vpn_xauth_ipsec
   isakmp authorization list vpn_group_ipsec
   client configuration address respond
   virtual-template 2
!        
crypto ipsec transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER esp-aes 256 esp-sha-hmac
!
crypto ipsec profile IPSEC_PROFILE_1
 set transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER
 set isakmp-profile ISAKMP_PROFILE_1
!
interface Virtual-Template2 type tunnel
 ip unnumbered FastEthernet0/1
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE_1
!
ip local pool POOL_FOR_VPN_USER 192.168.0.20 192.168.0.25
!

При такой конфигурации у клиента, при подключении ВПН соединения, в таблицу маршрутизации  добавляется маршрут по умолчанию указывающий на ВПН сервер и весь трафик идет в тунель.

Если необходимо дополнительное разделение трафика то необходимо в
crypto isakmp client configuration group VPN_GROUP задать параметр "acl'
(config-isakmp-group)#?
ISAKMP group policy config commands:
  access-restrict               Restrict clients in this group to an interface
  acl                           Specify split tunneling inclusion access-list number
  auto-update                   Configure auto-upgrade
............

(config-isakmp-group)#acl ?
  <100-199>  access-list number for split-tunneling
  WORD       Access-list name

Сюда вписываем ACL в котором описаны необходимые маршруты.

Cisco Router как PPTP Client

Возникла необходимость настроить маршрутизатор Cisco 2800 как PPTP клиент. Необходимо подключится к сайту  http://www.strongvpn.com/ и направлять весь трафик через ВПН соединение.
Рабочий конфиг ниже.

!
service internal !скрытая команда, которая включает PPTP клиента
!

no ip gratuitous-arps ! recommended
!
ip multicast-routing
!
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pptp
  rotary-group 0
 initiate-to ip 207.204.224.21 !target PPTP server addres
!
interface FastEthernet0/0
description -= Inside  =-
 ip address 172.16.x.x 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description -= Outside  =-
 ip address 77.91.xxx.xxx 255.255.255.240
 ip access-group  INPUT_ACL in
 duplex auto
 speed auto
 no cdp enable
!
interface Dialer0
description -=PPTP client =-
 mtu 1450
 ip address negotiated
 ip flow ingress
 ip pim dense-mode
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip igmp query-interval 125
 dialer in-band
 dialer idle-timeout 0
 dialer string 123
 dialer vpdn
 dialer-group 1
 no peer neighbor-route
 no cdp enable
 ppp pfc local request
 ppp pfc remote apply
 ppp encrypt mppe auto
 ppp eap refuse
 ppp chap hostname my_vpnlogin
 ppp chap password 0 my_vpnpassword
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 207.204.224.21 255.255.255.255 77.91.xxx.xxx ! на шлюз провайдера 
!
!Натим все, что попадает под route-map в ИП адрес интерфейса Dialer0
ip nat inside source route-map map_PPTP interface Dialer0 overload
!
!Разрешаем вх. трафик только от VPN сервера 
ip access-list extended INPUT_ACL
 permit ip host 207.204.224.21 host 77.91.xxx.xxx ! доступ к interface FastEthernet0/1
 deny   ip any any log
!
ip access-list extended VPN_PPTP
 permit ip host 172.16.0.0 any! описываем хосты с маской которых будем натить.
!
dialer-list 1 protocol ip permit
!
route-map map_PPTP permit 10
 match ip address VPN_PPTP
 match interface Dialer0
!

SecureCRT в качестве SSH - клиента

Есть достаточно удобны SSH - клиент -  SecureCRT.
С недавних пор возникла необходимость администрировать сервера FreeBSD используя данный SSH клиент. Есть пару нюансов в настройке SecureCRT для комфортной работы в FreeBSD. Чтобы их не забыть опишу настройки в картинках.

1.Terminal -> Emulation -> выставляем Terminal "Xterm" и ставим галочку  Select an alternate keyboard emulation ->выбираем Castom

 2. Далее необходимо указать файлик keyboard emulation. Эти файлы находятся в "c:\Program Files\VanDyke Software\SecureCRT\Keymaps\". Беру для образца файл vt220-linux.key (перед изменением сохраняю его под другим именем) и правлю (т.к если использовать этот файл без корректировки то некорректно работают некоторые функциональные клавиши F1-F10 в МС). Поэкспериментировав подобрал рабочий вариант (привожу полное содержимое файла).Сохраняю и подставляю єтот файлик а Custom.

N    VK_CLEAR                VT_KEYPAD_5
N    VK_PRIOR                VT_KEYPAD_9
N    VK_NEXT                 VT_KEYPAD_3
N    VK_END                  VT_KEYPAD_1
N    VK_HOME                 VT_KEYPAD_7
N    VK_LEFT                 VT_KEYPAD_4
N    VK_UP                   VT_KEYPAD_8
N    VK_RIGHT                VT_KEYPAD_6
N    VK_DOWN                 VT_KEYPAD_2
N    VK_INSERT               VT_KEYPAD_0
N    VK_DELETE               VT_KEYPAD_PERIOD
N    VK_NUMPAD0              VT_KEYPAD_0
N    VK_NUMPAD1              VT_KEYPAD_1
N    VK_NUMPAD2              VT_KEYPAD_2
N    VK_NUMPAD3              VT_KEYPAD_3
N    VK_NUMPAD4              VT_KEYPAD_4
N    VK_NUMPAD5              VT_KEYPAD_5
N    VK_NUMPAD6              VT_KEYPAD_6
N    VK_NUMPAD7              VT_KEYPAD_7
N    VK_NUMPAD8              VT_KEYPAD_8
N    VK_NUMPAD9              VT_KEYPAD_9
N    VK_MULTIPLY             VT_PF3
N    VK_ADD                  VT_KEYPAD_COMMA
N    VK_SUBTRACT             VT_PF4
N    VK_DECIMAL              VT_KEYPAD_PERIOD
N    VK_F5                   "\e[15~"
N    VK_F6                   VT_F6
N    VK_F7                   VT_F7
N    VK_F8                   VT_F8
N    VK_F9                   VT_F9
N    VK_F10                  VT_F10
N    VK_F11                  VT_F11
N    VK_F12                  VT_F12
E    VK_RETURN               VT_KEYPAD_ENTER
E    VK_PRIOR                "\e[5~"
E    VK_NEXT                 "\e[6~"
E    VK_END                  "\e[4~"
E    VK_HOME                 "\e[1~"
E    VK_INSERT               "\e[2~"
E    VK_DELETE               "\e[3~"
E    VK_ADD                  VT_KEYPAD_COMMA
E    VK_DIVIDE               VT_PF2
E    VK_NUMLOCK              VT_PF1
C    VK_ADD                  VT_KEYPAD_MINUS
C    VK_F2                   VT_AUTO_PRINT
CE    VK_PAUSE                VT_PF1
CE    VK_ADD                  VT_KEYPAD_MINUS
S    VK_F1                   VT_F11
S    VK_F2                   VT_F12
S    VK_F3                   VT_F13
S    VK_F4                   VT_F14
S    VK_F5                   VT_F15
S    VK_F6                   VT_F16
S    VK_F7                   VT_F17
S    VK_F8                   VT_F18
S    VK_F9                   VT_F19
S    VK_F10                  VT_F20
S    VK_F11                  VT_F11
S    VK_F12                  VT_F12
SE    VK_NUMLOCK              VT_PF1
CSE    VK_NUMLOCK              VT_PF1

3. Чтоб в МС работала мышка (одинарный клик, двойной клик, скролинг) необходимо:



























Правда до конца настроить корректно мышку так и не удалось. Не работает скролинг в низ. В независимости от того куда кручу колесико скролинга - на экране скролинг идет только вверх.

Если необходимо использовать мышку для copy - paste (например необходимо скопировать имя каталога а не зайти внутрь каталога), то необходимо удерживать нажатой клавишу Shift и кликать - тогда будет происходить простое произвольное выделение текста и его вставка по правой кнопке мышки как это обычно и происходит.

Пока вроде все.