https://slinkov.ru/openforum/vsluhforumID6/22404.html Здравствуйте. Помогите пожалуйста настроить VPN.<br>Суть проблемы такова. Имеется trendnet BW100-BRV204, заменил её на Cisco 871.<br>Поднял PPPoE, настроил что бы люди в инет ходили и HTTP сервер чтобы фунциклировал.<br>Осталась только проблемка, шеф из дома выходит на работу через виндовый VPN. На тренднете работает всё замечательно (VPN сервер), там настраивается легко.<br>Здесь много примеров конфигураций, но ничего не написано про то как поднять сам VPN, куда его завязывать (на какой интерфейс:dialer или fa4), как аутентификацию поднимать, как юзеров прописать. Книги нет в инете с описанием VPN. В офисе внешнйи адрес статический, дома динамический.<br>Вот конфиг.<br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname adsl<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 ********************<br>enable password enable<br>!<br>no aaa new-model<br>!<br>!<br>! <br>!<br>ip cef<br>!<br>!<br>!<br>!<br>ip inspect name internet http timeout https://slinkov.ru/openforum/vsluhforumID6/22404.html#15 Tue, 29 Mar 2011 09:05:43 GMT &gt;&gt; Всё работает, всё пингуется. Николай, спасибо большое. С меня пиво.<br>&gt;&gt; Остался вопрос, как трафик зашифровать? Почему я могу подключиться только если снять <br>&gt;&gt; галочку "требуется шифрование данных"?<br>&gt;&gt; На Trendnet маршрутизаторе данные шифровались.<br>&gt;&gt; Всё разобралася. На virtual-template1 добавил ppp enc mppe auto <br>&gt; Можно аналогично построить под Microsoft L2TP tunnel но нафига заморачиваться :) я <br>&gt; привел наиболее простой и распостраненный вариант.<br><br>В данный момент меня всё устраивает, т.е. я заменил полностью Trendnet маршрутизатор и теперь нет необходимости беспокоить ген. директора и ехать к нему домой.<br>Меня ещё интересует такая вещь, как DHCP. Планирую подключить к этой циске настоящую локальную сеть, а не та что сейчас поключена, фактически это сервера со второй сетевой и имеющие альтернативные адреса, отличные от адресации сети предприятия (так надёжней было).<br>В связи с этим, меня интересует вопрос - почему Vlan1 раздает адреса из своей сети? Т.е. сепрвер получил автоматом адрес 192.168.5 https://slinkov.ru/openforum/vsluhforumID6/22404.html#14 Tue, 29 Mar 2011 06:23:22 GMT &gt; Всё работает, всё пингуется. Николай, спасибо большое. С меня пиво.<br>&gt; Остался вопрос, как трафик зашифровать? Почему я могу подключиться только если снять <br>&gt; галочку "требуется шифрование данных"?<br>&gt; На Trendnet маршрутизаторе данные шифровались.<br>&gt; Всё разобралася. На virtual-template1 добавил ppp enc mppe auto <br><br>Можно аналогично построить под Microsoft L2TP tunnel но нафига заморачиваться :) я привел наиболее простой и распостраненный вариант.<br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#13 Tue, 29 Mar 2011 04:27:19 GMT Всё работает, всё пингуется. Николай, спасибо большое. С меня пиво.<br>Остался вопрос, как трафик зашифровать? Почему я могу подключиться только если снять галочку "требуется шифрование данных"?<br>На Trendnet маршрутизаторе данные шифровались.<br><br>Всё разобралася. На virtual-template1 добавил ppp enc mppe auto<br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#12 Mon, 28 Mar 2011 13:28:19 GMT &gt;[оверквотинг удален]<br>&gt; опять во внутрь :) <br>&gt; делать можно несколькими способами <br>&gt; 1. Прописать у юзеров в LMHOSTS конкретно днс имя сайта и прибить <br>&gt; внутренний ИП.<br>&gt; 2. Поднять ДНС с внутренней зоной.<br>&gt; 3. Настроить ДНС на циско сделать форвард всего на внешние ДНС а <br>&gt; вот ваш сайт прописать типа: <br>&gt; ip host cisco.com 1.1.1.1 ! :)) как-то вот так <br>&gt; ip dns server <br>&gt; принимаю пожертвования в Вебмани :) <br><br>Ещё вопросик можно? Что теперь прописать чтобы ВПН клиенты могли ходить в сеть в 192.168.5.0?<br>Я DHCP сделал из той же сети, т.е. адрес клиент получает из 192.168.5.0<br><br>ip dhcp pool DHCP-home<br> network 192.168.5.0 255.255.255.0<br> default-router 192.168.5.11<br> dns-server 192.168.5.50<br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#11 Mon, 28 Mar 2011 11:33:55 GMT &gt;&gt;&gt; если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во <br>&gt;&gt;&gt; вне не проходят.<br>&gt;&gt; А про эту строчку я ничего и не говорил ;) <br>&gt;&gt; Насчет литературы не подскажу практически все буржуйское.<br>&gt; Пардон, не то удалил.<br>&gt; А вы не подскажите, как организовать loopback? За циской на vlan1 находится <br>&gt; сервер с Apache через этот же сервер через прокси ходят юзеры <br>&gt; в инет. Дк вот, юзеры не могут зайти на сайт, т.е. <br>&gt; сервер не может зайти сам на себя.<br><br>циска не может зайти сама на себя из внутренней сети через внешнюю опять во внутрь :)<br><br>делать можно несколькими способами <br>1. Прописать у юзеров в LMHOSTS конкретно днс имя сайта и прибить внутренний ИП.<br>2. Поднять ДНС с внутренней зоной.<br>3. Настроить ДНС на циско сделать форвард всего на внешние ДНС а вот ваш сайт прописать типа:<br> ip host cisco.com 1.1.1.1 ! :)) как-то вот так<br> ip dns server<br><br>принимаю пожертвования в Вебмани :)<br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#10 Mon, 28 Mar 2011 11:01:11 GMT &gt;&gt; если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во <br>&gt;&gt; вне не проходят.<br>&gt; А про эту строчку я ничего и не говорил ;) <br>&gt; Насчет литературы не подскажу практически все буржуйское.<br><br>Пардон, не то удалил.<br>А вы не подскажите, как организовать loopback? За циской на vlan1 находится сервер с Apache через этот же сервер через прокси ходят юзеры в инет. Дк вот, юзеры не могут зайти на сайт, т.е. сервер не может зайти сам на себя.<br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#9 Mon, 28 Mar 2011 10:55:03 GMT &gt; если убрать эту строчку ip route 0.0.0.0 0.0.0.0 Dialer0 то пинги во <br>&gt; вне не проходят.<br><br>А про эту строчку я ничего и не говорил ;) <br>Насчет литературы не подскажу практически все буржуйское. <br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#8 Mon, 28 Mar 2011 10:50:46 GMT &gt;&gt;&gt;&gt; а в каком месте указывается что VPN будет слушаться на FE4? Или <br>&gt;&gt;&gt;&gt; оно должно работать как изнутри так и снаружи? Как проверить-то?<br>&gt;&gt;&gt;&gt; ip unnumbered vlan1 - что означает эта строчка?<br>&gt;&gt;&gt; еще забыл добавить vpdn enable.<br>&gt;&gt;&gt;&gt; ip unnumbered vlan1 - что означает эта строчка?<br>&gt;&gt;&gt; Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.<br>&gt;&gt; проверить telnet IP(Lan or WAN) 1723 <br>&gt; adsl#telnet 91.143.62.160 1723 <br>&gt; Trying 91.143.62.160, 1723 ... Open <br><br>Всё, пашет, спасибо. Ещё бы всё это понять что куда.<br>Ткните пожалуйста где можно про VPN почитать цисковский, желательно на отечественном языке.<br> https://slinkov.ru/openforum/vsluhforumID6/22404.html#7 Mon, 28 Mar 2011 10:27:12 GMT &gt;&gt; а в каком месте указывается что VPN будет слушаться на FE4? Или <br>&gt;&gt; оно должно работать как изнутри так и снаружи? Как проверить-то?<br>&gt;&gt; ip unnumbered vlan1 - что означает эта строчка?<br>&gt; еще забыл добавить vpdn enable.<br>&gt;&gt; ip unnumbered vlan1 - что означает эта строчка?<br>&gt; Эта строчка означает что под ИП адресс тунеля использовать ИП vlan1.<br><br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname adsl<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 ***********************<br>enable password enable<br>!<br>no aaa new-model<br>!<br>!<br>! <br>!<br>ip cef<br>!<br>!<br>no ip dhcp use vrf connected<br>!<br>ip dhcp pool DHCP-home<br> network 10.255.0.0 255.255.255.0<br> default-router 10.255.0.1 <br> dns-server 192.168.5.50 <br>!<br>!<br>ip inspect name internet http timeout 3600<br>ip inspect name internet icmp<br>ip inspect name internet ftp timeout 3600<br>ip inspect name internet tcp timeout 3600<br>ip inspect name internet h323 timeout