пятница, 9 декабря 2011 г.

Настройка на Cisco IOS IPSEC VPN для iPad-а и Cisco VPN Client-а


Есть Cisco IOS Software, 2800 Software (C2800NM-ADVENTERPRISEK9-M), Version 12.4(24)T6, RELEASE SOFTWARE (fc2)

Задача:
Необходимо настроить IPSEC VPN для удаленных пользователей с iPAD-ами и Cisco VPN Client-ами.

Рабочий конфиг ниже


username vpnuser1 secret
!
crypto isakmp policy 10
 encr aes 256
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPN_GROUP
 key !!!Тут пароль !!!
 dns 4.2.2.2
 pool POOL_FOR_VPN_USER
 save-password !!!! разрешаем сохранение пароля для username vpnuser1 !!!
 max-users 5
 netmask 255.255.255.0
!
crypto isakmp profile ISAKMP_PROFILE_1
   match identity group VPN_GROUP
   client authentication list vpn_xauth_ipsec
   isakmp authorization list vpn_group_ipsec
   client configuration address respond
   virtual-template 2
!        
crypto ipsec transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER esp-aes 256 esp-sha-hmac
!
crypto ipsec profile IPSEC_PROFILE_1
 set transform-set ESP_AES256_SHA_TRANSFORM_VPN_USER
 set isakmp-profile ISAKMP_PROFILE_1
!
interface Virtual-Template2 type tunnel
 ip unnumbered FastEthernet0/1
 ip virtual-reassembly
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile IPSEC_PROFILE_1
!
ip local pool POOL_FOR_VPN_USER 192.168.0.20 192.168.0.25
!

При такой конфигурации у клиента, при подключении ВПН соединения, в таблицу маршрутизации  добавляется маршрут по умолчанию указывающий на ВПН сервер и весь трафик идет в тунель.





Если необходимо дополнительное разделение трафика то необходимо в
crypto isakmp client configuration group VPN_GROUP задать параметр "acl'
(config-isakmp-group)#?
ISAKMP group policy config commands:
  access-restrict               Restrict clients in this group to an interface
  acl                           Specify split tunneling inclusion access-list number
  auto-update                   Configure auto-upgrade
............

(config-isakmp-group)#acl ?
  <100-199>  access-list number for split-tunneling
  WORD       Access-list name

Сюда вписываем ACL в котором описаны необходимые маршруты.

Автор: на
Ярлыки: , ,

1 комментарий:

Анонимный комментирует...

Добавить:

!
aaa new-model
!
!
aaa authentication login vpn_xauth_ipsec local
aaa authorization network vpn_group_ipsec local
!

и тогда точно рабочий.

6 апреля 2019 г. в 11:36

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)