Cisco Router как L2TP Client

  Настройка Cisco 2800 как L2TP Client-а

Рабочий крнфиг:

service internal ! Обязятельная скрытая команда

ip cef

ip multicast-routing 

!

vpdn-group L2TP-STRONGVPN
 request-dialin
  protocol l2tp
  pool-member 1
 initiate-to ip 207.204.224.21
 no l2tp tunnel authentication

!

!        
crypto isakmp policy 5
 encr 3des
 authentication pre-share
 group 2 
 lifetime 3600
crypto isakmp key _Password_ address 207.204.224.21
!        
!        
crypto ipsec transform-set ESP-AES256-SHA esp-aes 256 esp-sha-hmac
 mode transport
!        
crypto map STRONGVPN 10 ipsec-isakmp
 set peer 207.204.224.21
 set transform-set ESP-AES256-SHA
 match address L2TP_SA_DIALER1
!        

interface FastEthernet0/0

description -= Local network =-
 ip address 172.16.44.44 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto

!

 interface FastEthernet0/1
 description -= Outside Interface =-
 ip address 77.91.xxx.yyy 255.255.255.240
 ip access-group INPUT_ACL in
 ip flow ingress
 ip flow egress

 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map STRONGVPN
!

interface Dialer1
 description -= VPN (StrongVPN) L2TP client =-
 ip address negotiated
 ip mtu 1492
 ip nbar protocol-discovery
 ip flow ingress
 ip flow egress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer idle-timeout 0
 dialer string 123
 dialer vpdn
 dialer-group 1
 no cdp enable
 ppp chap hostname _USERNAME_
 ppp chap password  _Password_

!

ip route 0.0.0.0 0.0.0.0 Dialer1 ! Весь трафик заворачиваем в тунель
ip route 172.16.44.0 255.255.255.0 FastEthernet0/0
ip route 207.204.224.21 255.255.255.255 77.91.xxx.xxx  !на шлюз провайдерв
!

ip flow-top-talkers
 top 50
 sort-by bytes
 cache-timeout 30000
 match protocol udp
!         

ip nat translation timeout 30

!НАТ-им в адрес интерфейса Dialer1
ip nat inside source route-map map_IPSEC interface Dialer1 overload
! 

ip access-list extended INPUT_ACL
 permit ip host 207.204.224.21 host 77.91.xxx.yyy ! Разрешаем трафик между нашим интерфейсом и VPN сервером. Остально е запрещаем.
 deny   ip any any log

!

ip access-list extended L2TP_SA_DIALER1
 permit udp host 77.91.xxx.yyy eq 1701 host 207.204.224.21 eq 1701
 remark -= Razreshaem L2TP  =-

!

ip access-list extended VPN_IPSEC
 permit ip host 172.16.44.1 any
 permit ip host 172.16.44.44 any
 remark -= Vybyraem Local IP adresa korotye NAT-im =-
!

dialer-list 1 protocol ip permit

!

route-map map_IPSEC permit 10
 match ip address VPN_IPSEC
 match interface Dialer1
!

При таком конфиге весь трафик направляется в тунель.

Локальный трафик с адресов описанных в ip access-list extended VPN_IPSEC натится натится в адрес interface Dialer1 overload (получаем PAT).

Настройка на Cisco IOS IPSEC VPN для iPad-а и Cisco VPN Client-а

Есть Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)

Задача:
Необходимо настроить IPSEC VPN для удаленных пользователей с iPAD-ами и Cisco VPN Client-ами.

Рабочий конфиг ниже


username vpnuser1 secret
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPN_GROUP
 key !!!Тут пароль !!!
 dns 4.2.2.2
 pool POOL_FOR_VPN_USER
 save-password !!!! разрешаем сохранение пароля для username vpnuser1 !!!
 max-users 5
 netmask 255.255.255.0
!
crypto isakmp profile ISAKMP_PROFILE_1
   match identity group VPN_GROUP
   client authentication list vpn_xauth_ipsec
   isakmp authorization list vpn_group_ipsec
   client configuration address respond
   virtual-template 2
!        
crypto ipsec transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER esp-aes 256 esp-sha-hmac
!
crypto ipsec profile IPSEC_PROFILE_1
 set transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER
 set isakmp-profile ISAKMP_PROFILE_1
!
interface Virtual-Template2 type tunnel
 ip unnumbered FastEthernet0/1
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE_1
!
ip local pool POOL_FOR_VPN_USER 192.168.0.20 192.168.0.25
!

При такой конфигурации у клиента, при подключении ВПН соединения, в таблицу маршрутизации  добавляется маршрут по умолчанию указывающий на ВПН сервер и весь трафик идет в тунель.

Если необходимо дополнительное разделение трафика то необходимо в
crypto isakmp client configuration group VPN_GROUP задать параметр "acl'
(config-isakmp-group)#?
ISAKMP group policy config commands:
  access-restrict               Restrict clients in this group to an interface
  acl                           Specify split tunneling inclusion access-list number
  auto-update                   Configure auto-upgrade
............

(config-isakmp-group)#acl ?
  <100-199>  access-list number for split-tunneling
  WORD       Access-list name

Сюда вписываем ACL в котором описаны необходимые маршруты.

Cisco Router как PPTP Client

Возникла необходимость настроить маршрутизатор Cisco 2800 как PPTP клиент. Необходимо подключится к сайту  http://www.strongvpn.com/ и направлять весь трафик через ВПН соединение.
Рабочий конфиг ниже.

!
service internal !скрытая команда, которая включает PPTP клиента
!

no ip gratuitous-arps ! recommended
!
ip multicast-routing
!
vpdn enable
!
vpdn-group 1
 request-dialin
  protocol pptp
  rotary-group 0
 initiate-to ip 207.204.224.21 !target PPTP server addres
!
interface FastEthernet0/0
description -= Inside  =-
 ip address 172.16.x.x 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description -= Outside  =-
 ip address 77.91.xxx.xxx 255.255.255.240
 ip access-group  INPUT_ACL in
 duplex auto
 speed auto
 no cdp enable
!
interface Dialer0
description -=PPTP client =-
 mtu 1450
 ip address negotiated
 ip flow ingress
 ip pim dense-mode
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip igmp query-interval 125
 dialer in-band
 dialer idle-timeout 0
 dialer string 123
 dialer vpdn
 dialer-group 1
 no peer neighbor-route
 no cdp enable
 ppp pfc local request
 ppp pfc remote apply
 ppp encrypt mppe auto
 ppp eap refuse
 ppp chap hostname my_vpnlogin
 ppp chap password 0 my_vpnpassword
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 207.204.224.21 255.255.255.255 77.91.xxx.xxx ! на шлюз провайдера 
!
!Натим все, что попадает под route-map в ИП адрес интерфейса Dialer0
ip nat inside source route-map map_PPTP interface Dialer0 overload
!
!Разрешаем вх. трафик только от VPN сервера 
ip access-list extended INPUT_ACL
 permit ip host 207.204.224.21 host 77.91.xxx.xxx ! доступ к interface FastEthernet0/1
 deny   ip any any log
!
ip access-list extended VPN_PPTP
 permit ip host 172.16.0.0 any! описываем хосты с маской которых будем натить.
!
dialer-list 1 protocol ip permit
!
route-map map_PPTP permit 10
 match ip address VPN_PPTP
 match interface Dialer0
!