https://www.opennet.ru/openforum/vsluhforumID6/20033.html Добрый день. Есть Cisco 2800 и есть надомный сотрудник, домашнюю сеть которого, нужно соединить по VPN с корпоративной сетью. Так же надо учесть что домашняя сеть находится за NAT'ом провайдера, то есть ни каких реальных IP адресов и проброса портов сделать не возможно (со стороны 2800 всё прозрачно). Так что нужна не большая и не дорогая железка которая бы смогла постоить Lan-to-Lan туннель (через NAT) из дома до корпоративной сети. Кто что посоветует из оборудования?<br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#24 Tue, 17 Nov 2009 16:39:41 GMT &gt;Прошу прощения, office_lan и home_lan в ACL перепутал местами. <br><br>Не нужно только привязываться к "home_lan".... Они - любые...<br><br>crypto isakmp client configuration group %GROUP%<br> key %KEY%<br> pool %POOL%<br> acl EasyVPN<br> include-local-lan<br> netmask 255.255.255.0<br><br>ip access-list extended EasyVPN<br> permit ip %Office_net_addr% 0.0.0.255 any<br> permit ip %Office2_net_addr% 0.0.0.255 any<br><br>Эти сети появятся в винде с роутом в ВПН. Остальное - по дефолтному маршруту.<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#23 Tue, 17 Nov 2009 07:43:50 GMT &gt;&gt;Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через <br>&gt;&gt;машину сотрудника с vpn-соединением не подойдёт? <br>&gt;<br>&gt;Вариан с nat-ится не подходит <br><br>Как вариант можно поставить самую простую железку 851 с опцией nem extended. Как извращенный вариант поднять Dynamips с нужным IOS и отстроиться от него с опцией nem extended :))<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#22 Tue, 17 Nov 2009 07:18:05 GMT Прошу прощения, office_lan и home_lan в ACL перепутал местами.<br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#21 Tue, 17 Nov 2009 07:17:03 GMT <br>&gt;crypto dynamic-map dynmap 10 <br>&gt;set transform-set myset <br>&gt;set isakmp-profile L2L <br>&gt;при таком конфиге не совсем понятно как 2800 определяет какие сети ей <br>&gt;шифровать и заворачивать в IPSec туннель <br><br>под "crypto dynamic-map dynmap 10" <br> match address VPN_ACL<br><br>ip access-list extended VPN_ACL<br> permit ip &lt;home_lan&gt; &lt;wildcard_mask&gt; &lt;office_lan&gt; &lt;wildcard_mask&gt;<br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#20 Tue, 17 Nov 2009 07:06:41 GMT &gt;Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через <br>&gt;машину сотрудника с vpn-соединением не подойдёт? <br><br>Вариан с nat-ится не подходит<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#19 Tue, 17 Nov 2009 07:05:37 GMT <br>&gt;Нет....Он что то "по кусочкам" собирает ;) И длинки мучает.... <br>&gt;<br>&gt;Кодовое слово Cisco VPN Client. <br>&gt;Если нет желания искать - вот вариант альтернативы: <br>&gt;http://habrahabr.ru/blogs/infosecurity/71077/ <br>&gt;Сам не пробовал.... <br><br>Ткните носом, как Cisco VPN Client соединит домашнюю сетку /24 в которой кроме самого копьютера ещё кучка устройств, с корпоративной сетью. Тем более речь идет о железном устройстве, а не о комьютере.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#18 Mon, 16 Nov 2009 22:12:48 GMT &gt;&gt;Для любой железки с NAT-T почитайте про crypto dynamic-map. <br>&gt;<br>&gt;Собрал по кусочкам из интернета и мануалов <br><br>Вот ведь упрямый человек ;)<br>Говорят ему - есть стандартное, провереное решение для удаленных пользователей...<br><br>Нет....Он что то "по кусочкам" собирает ;) И длинки мучает.... <br><br>Кодовое слово Cisco VPN Client.<br>Если нет желания искать - вот вариант альтернативы:<br>http://habrahabr.ru/blogs/infosecurity/71077/<br>Сам не пробовал....<br><br>Не изобретайте велосипед ;) <br>Точнее - Изобретайте, но САМОСТОЯТЕЛЬНО.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#17 Mon, 16 Nov 2009 21:36:55 GMT Простейший вариант pptp от сотрудника до работы, его домашняя сеть nat-ится через машину сотрудника с vpn-соединением не подойдёт?<br> https://www.opennet.ru/openforum/vsluhforumID6/20033.html#16 Mon, 16 Nov 2009 20:19:43 GMT &gt;Для любой железки с NAT-T почитайте про crypto dynamic-map. <br><br>Собрал по кусочкам из интернета и мануалов<br><br>Настройки на 2800:<br><br>!<br>crypto keyring spokes<br> pre-shared-key address 0.0.0.0 0.0.0.0 key 12345678<br>!<br>crypto isakmp policy 10<br>encr aes 256<br>authentication pre-share<br>group 2<br>crypto isakmp client configuration address-pool local dynpool<br>crypto isakmp profile L2L<br> description LAN-to-LAN for spoke router connection<br> keyring spokes<br> match identity address 0.0.0.0<br>!<br>!<br>crypto ipsec transform-set myset esp-3des esp-sha-hmac<br>!<br>crypto dynamic-map dynmap 10<br>set transform-set myset<br>set isakmp-profile L2L<br>!<br>!<br>crypto map mymap 10 ipsec-isakmp dynamic dynmap <br><br>Настройки на Linksys или D-link (например)<br>Local Secure Group: домашняя_сеть/24 <br>Remote Secure Group: корпоративная_сеть/16<br>Remote Secure Gateway: внешний_IP_cisco_2800<br>и галочка NAT-T<br><br>при таком конфиге не совсем понятно как 2800 определяет какие сети ей шифровать и заворачивать в IPSec туннель<br>