Soru Cisco 877 bir VPN sunucusu olarak mı?


Ağımı bir ADSL hattı, tek bir genel IP adresi ve NAT kullanarak internete bağlayan bir Cisco 877 yönlendiriciye sahibim; IOS sürümü 15.

Her şey yolunda gidiyor, ancak dışarıdan ağa bağlanabilmek için bu yönlendiriciyi bir VPN sunucusu olarak yapılandırmak istiyorum.

Doküman aramayı denedim, ancak bulabildiğim her şey 877'nin bir VPN gibi davranmasıyla ilgili. müşteriveya siteden siteye VPN'ler; Tek bir uzak bilgisayarın iç ağa erişmesine izin vermeyeceğim, bu da Windows 'RRAS veya ISA Server kullanarak kolayca yapabileceğim bir şey.

  • Cisco 877 uzak istemci bilgisayarlar için bir VPN sunucusu gibi davranabilir mi? (Olması gerektiği gibi görünüyor, ama emin olmak için ...)
  • Hangi tür VPN'ler destekliyor? İstemci makinelerinde özel bir yazılım gerektiriyor mu, yoksa standart Windows bilgisayarlar tarafından kullanılabilir mi?
  • Ve sonunda, nasıl kurulur?

Düzenle:

877'nin bir SOHO yönlendiricisi olduğunu biliyorum ve bu bir VPN sunucusu olarak en iyi seçim değil; ama bu benim ev ağım, sadece bir bilgisayarım var (şimdilik) ve tek kullanıcı benim. Ben kesinlikle değil İşteyken bilgisayarıma ulaşabilmek için kurumsal bir yönlendirici satın almaya gidiyorum: -p


Düzenle 2:

Gerçekten bununla takıldım, birçok testten sonra asla işe yaramayacağım. Bu soruya ödül verilecek bir ödül ekliyorum tamamen çalışan bir çözüme (şifreli Cisco belgelerine veya alakasız senaryolara işaretçi değil).

İnsanların yardımcı olabilmeleri için, şu andaki yönlendirici yapılandırmam (ilgili olmayan ve özel ayrıntılardan arındırılmış). Umarım birileri bu çalışmayı bitirmeme yardımcı olur.

Ana noktaları:

  • Dört Ethernet arabiriminin tamamı VLAN 1'e atanmıştır.
  • İç ağ 192.168.42.0/24, yönlendiricinin IP adresi 192.168.42.1'dir.
  • Harici IP adresi ISS tarafından sağlanır; Tamamen yönlendirilebilir, kamusal ve statik bir.
  • NAT (tabi ki) etkin.
  • ADSL bağlantısı iyi çalışıyor.
  • Yönlendirici, iç ağ için DNS sunucusudur, ISP'nin DNS'sine yapılan iletilerdir.
  • Ağda DHCP sunucusu yok.
  • Ayrıcalık düzeyi 15 olan tek bir kullanıcı hesabı var.

İstediğim:

  • Harici istemcilerin dahili ağa erişmesini sağlayan bir VPN sunucusu görevi gören yönlendirici.
  • L2TP tercih edilir, ancak PPTP bile iyi olurdu.
  • Mümkünse, bunun Windows 'yerleşik VPN istemcisi (PPTP ve L2TP'yi destekleyen) ile çalışmasını istiyorum; Bağlanabilmeleri için Cisco VPN istemcisini veya harici bilgisayarlarda böyle bir şey kurmak istemiyorum.

İşte yapılandırma:

version 15.0

service password-encryption

hostname Cisco877

aaa new-model

aaa authentication login default local
aaa authorization console
aaa authorization exec default local

aaa session-id common

ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef

password encryption aes

username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>

ip ssh version 2

interface ATM0
 no ip address
 no atm ilmi-keepalive

interface ATM0.1 point-to-point
 pvc 8/75
  encapsulation aal5mux ppp dialer
  dialer pool-member 1

interface FastEthernet0
 spanning-tree portfast

interface FastEthernet1
 spanning-tree portfast

interface FastEthernet2
 spanning-tree portfast

interface FastEthernet3
 spanning-tree portfast

interface Vlan1
 ip address 192.168.42.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>

ip forward-protocol nd

ip dns server

ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0

access-list 1 permit 192.168.42.0 0.0.0.255

dialer-list 1 protocol ip permit

5
2018-04-08 14:02


Menşei


Cevabımdaki bağlantılardan herhangi birini okudun mu? İlk ikisi muhtemelen bu durumda ihtiyacınız olan tek şey ve hala tam olarak ihtiyacınız olan şey olmalıdır. İkinci bağlantı, Cisco'nun baş ucuna 877 nasıl kurulduğunu söyleyen bir PDF dosyasıdır. Bu linklerden daha iyi bir cevap vereceğinden emin değilim ... - Webs
Soruyu göndermeden önce ikinci bağlantınızda bulunan belgeyi zaten bulmuştum; iki VPN senaryosunu analiz eder: ilk önce yönlendirici uzak bir VPN sunucusuna bağlanır ve yerel kullanıcıların uzak ağa erişmesine izin verir ve ikincisi siteden siteye VPN'dir. Orada hiçbir şey yok bir VPN sunucusu olmak. Son bağlantı olsa da, umut verici görünüyor. - Massimo
Pg'den başlayarak. İkinci bağlantıdaki bu belgenin 69'u ihtiyacınız olan şey olmalıdır. İlk 7 merminin tamamı, sunucuda veya baş sonunda yapılmalı, son mermi, müşteriye yaptığınız şey olacaktır. En azından bu, belgeyi nasıl okuduğum. Bu yapılandırmayı denerken 877'nizi aşağı çekmek istemezseniz deneyebilirsiniz dynagen.org ve o ortamda çalışıp çalışmadığını görün. Öyleyse, kurulumunuza aynı komutları uygulayın. - Webs
@MAssimo: 500 pts lütfunu almak için bu cihaza oynamak için bir Cisco 877 ikincisini almaya değip değmeyeceğini merak ediyorsun ...> smile < - Evan Anderson
@Massimo: Chopper3 aşırı derecede yakınlaşıyor ve bu konuda gülünç davranıyorum. Aramızdaki "yayılımı" korumak için bir haftada bir gün Sunucu Hatası'na tekrar başlamalıyım. - Evan Anderson


Cevaplar:


Cisco'nun web sitesine göre, evet 877'nizi bir sunucu olabilir. Ama buna karşı tavsiye ederim. Bir baş ucu 2800 yönlendiricisine bağlanan 871 yönlendirici ile bir VPN çözümü kurdum ve her türlü problem yaşadım. Alt uç cihazlar, birçok eşzamanlı VPN bağlantısının üstesinden gelmek için yapılmamıştır. Benim önerim bir VPN modülü ile bir 2800 veya 3800 serisi yönlendirici satın almak olacaktır. Donanım modülü daha fazla bağlantıya izin verecek, ancak bağlantıları da çok daha iyi kullanacak.

Her şeyi nasıl ayarlayacağınız ve başınızın ucunu nereye koymanız gerektiği size kalmış, ama sanırım baş ucunun ağınızın dışında oturduğunu düşünürsek, bugün 877'de olduğu gibi muhtemelen en kolay olanıdır. Aşağıdaki bağlantılarda, bunu yapmanın birçok yolu bulacaksınız, ancak en kolayı, şu anda sahip olduğunuz gibi bir kafa ucu kullanmaktır, ancak daha iyi bir donanım.

Bu linkler için boşlukları çıkar ve ikincisini "Easy VPN" için ara.

http://www.cisco.com/en/US/products/sw/secursw/ps5299/

http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/prod_white_paper0900aecd803645b5.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_rem.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_srvr.html


1
2018-04-08 16:03



Soru hakkındaki düzenlemeye bakın :-) - Massimo


İşte benim deneme girişimi, bunu gerçekten test etmek için böyle bir yönlendiriciye sahip olmaktı. Aşağıdakileri yapılandırmanıza ekleyin:

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local

Bu, VPN çevirisini (VPDN) etkinleştirmeli, gelen PPTP'yi kabul etmek için bir VPDN grubu oluşturmalı, istemcilere atanacak bir IP havuzu oluşturmalı, istemcilere atanacak bir sanal şablon arabirimi oluşturmalı ve PPP kullanıcıları için yerel kimlik doğrulamasını açmalıdır. MS-CHAP ve MPPE şifrelemesi gerekli olacaktır (Windows'ta varsayılan değerler, inanıyorum).

İlk denemede mi, yoksa gerçekten de olsun, anlamaya çalışıyorum.


1
2018-06-29 21:22



Mevcut bir harici bilgisayarım var, yani yarın iş başında test edeceğim. Bu arada, L2TP ile çalışan bir şey de bulabilirseniz, çok nice ... şu anda çalışıyorum nerede PPTP'yi sevmeyen bir güvenlik duvarı var (bana çok benziyor <). Onu bypass edebilirim (ve ben irade), ancak L2TP'ye sahip olmak da optimal olacaktır. - Massimo
@Massimo: Asla bir Cisco yönlendirici üzerinde L2TP'yi hiçbir zaman yapılandırmamıştım, bu yüzden şu an için bunu devre dışı bırakacağım. Ne demek istediğini biliyorum: PPTP. Onun yani UDP’de trafiği kapatmak yerine GRE’yu kullandığını hayal kırıklığına uğratıyor. Microsoft, Windows XP ve Windows Server 2003'e geri yüklediyse SSTP, "bomba" olurdu. SSTP, Müşterilerimin Windows XP istemcilerini atlatmasına kadar (ki 2025 gibi). - Evan Anderson
Yarın test edeceğim; ama sanırım zaten bir çift problemi ("ppp auth ms-chap" satırında "belirsiz komut" hatası dışında kimlik doğrulama veya yetki... sanırım "yazışma" doğru mu?). - Massimo
1) İstemciyi bu VPN'yi varsayılan ağ geçidi olarak kullanacak şekilde yapılandırırsam, Internet'e erişemez; Bunun çalışması için, 192.168.200.x adres havuzu NAT'ın "iç" kısmı olarak yapılandırılmalıdır ... - Massimo
2) VPN arayüzünü istemcinin varsayılan ağ geçidi olarak yapılandırmazsam (aslında yapamaz ), o zaman 192.168.200.x adresi üzerinden 192.168.42.0/24 ağına ulaşabileceğini nereden bilecek? Bunun için statik bir rotaya gerek yok mu? Yönlendirici bunu sağlayabilir mi? - Massimo


Sonunda Evan'un büyük desteğini kullanarak çalışmayı başarabiliyordum ve bu sayfa.

Buraya tam yapılandırmayı gönderiyorum ve bu cevabı bir referans olarak bırakmak için kabul ediyorum, ama elbette ki ödül Evan'a gidiyor.

PPTP ve L2TP çevirmeli VPN erişimini etkinleştirmek için yönlendiricinin yapılandırmasına eklenecek olan budur:

aaa authentication ppp default local

vpdn enable
vpdn-group VPN_Clients
 accept-dialin
  protocol any
  virtual-template 1
 no l2tp tunnel authentication

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
 mode transport
crypto dynamic-map VPN_DYN_MAP 1
 set nat demux
 set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP

interface Dialer0
 crypto map VPN_MAP

ip local pool VPN_POOL 192.168.42.240 192.168.42.249

interface Virtual-Template1
 ip unnumbered Vlan1
 ip nat inside
 peer default ip address pool VPN_POOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication ms-chap-v2 ms-chap chap

Not 1: VPN kullanıcılarının kimliğini doğrulamak için, şifrelerini komutla ayarlamanız gerekir username <user> password <password> daha güvenli yerine username <user> secret <password>aksi halde kimlik doğrulama başarısız olur, çünkü MD5 şifreli parolalar CHAP ile uyumlu değildir; bu belgelendi İşte.

Not 2: Bu yapılandırma, iç ağın bir parçası olan VPN istemcilerinin IP adreslerini atar; Bu, en farklı yaklaşımdır, çünkü farklı bir alt ağın kullanılması, istemcilere LAN'a statik bir yol sağlamayı gerektirir. Gerçekten daha güvenli olur, ancak bir ev ağına kolay erişim için basit bir zorluk değil.


1
2017-07-01 13:50



Bu gerçekten hoş görünüyor, hepsi bir arada. Bütçeyi almaya yetecek kadar iş yaptığımı bilmiyorum ama sanırım isteksizce kabul edeceğim ... - Evan Anderson
@Evan: Bana en çok yardım eden kişi sizsiniz. Sana bu lütuf vermek için yeterli :-) - Massimo
Evet, çünkü Evan'ın 500'e daha ihtiyacı var. Biraz düşük koşuyordu;) - Mark Henderson♦