Настройка PPTP-сервера на маршрутизаторе Cisco [27.02.2007]
Как настроить маршрутизатор Cisco для работы в качестве VPN-сервера через PPTP. PPTP (Point-to-Point Tunneling Protocol) – один из протоколов туннелирования, применяемых при установке соединения PPP (Point-to-Point Protocol). При создании соединения по PPP, как следует из его названия, устанавливается соединения типа "точка-точка" через общую среду Ethernet. Начиная обмен данными, клиент и сервер PPTP обмениваются адресами и создают соединение, необходимое для работы сессии PPP.
Такой вариант подключения можно использовать для построения сетей с безопасным доступом. Маршруизатор Cisco используется в качестве сервера доступа VPN (через PPTP) и шлюза для доступа в Интернет. Каждому клиенту, подключающемуся по такой схеме, раздается IP-адрес из пула DHCP-сервера, затем происходит авторизация по PPTP. При правильной паре имя пользователя/пароль клиенту выдается также приватный ip адрес из сети 192.168.10.0 с маской подсети 255.255.255.0, который затем будет маршрутизироваться в Интернет с помощью NAT. Для субинтерфейсов используем инкапсуляцию dot1q. Такая схема подключения реализуется на маршрутизаторах Сisco серий 1700, 2600, 2800 и так далее (до 7500 и выше) с поддержкой VPN-функций в используемом Cisco IOS.
aaa new-model aaa authentication login default local aaa authentication ppp default group radius aaa authorization exec default local aaa authorization network default group radius aaa accounting network default start-stop group radius aaa accounting system default start-stop group radius enable secret cisco enable password cisco
username admin password cisco ip subnet-zero no ip rcmd domain-lookup ip domain-name router ip name-server 192.168.1.100 ip name-server 192.168.2.100 ip cef vpdn enable
vpdn-group 1 # PPTP VPDN-группа по умолчанию accept-dialin protocol any virtual-template 1 local name pptp_gateway
interface FastEthernet0/0 no ip address no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef full-duplex
interface FastEthernet0/0.1 # субинтерфейс для соединения с RADIUS-сервером encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0.2 # субинтерфейс для PPTP-клиентов encapsulation dot1Q 3 ip address 192.168.1.1 255.255.255.0 no ip redirects ip nat inside pppoe enable
interface FastEthernet1/0 # внешний интерфейс, подключенный к провайдеру ip address 212.45.32.145 255.255.252.0 # внешний IP-адрес маршрутизатора Cisco no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip route-cache cef full-duplex
interface Virtual-Template1 ip unnumbered FastEthernet0/0.2 ip mtu 1492 ip nat inside autodetect encapsulation ppp ppp authentication chap callin
ip nat inside source list 4 interface FastEthernet1/0 overload ip classless ip route 0.0.0.0 0.0.0.0 212.45.32.1 # шлюз по умолчанию, указанный провайдером no ip http server
ip radius source-interface FastEthernet0/0.1
access-list 4 permit 192.168.3.0 0.0.0.255
radius-server configure-nas radius-server host 192.168.2.2 auth-port 1812 acct-port 1813 radius-server retransmit 3 radius-server timeout 30 radius-server key 1234567890123456 end
Для клиентов в Windows XP создаем новое удаленное подключение через VPN, параметры – PPTP, авторизация по CHAP, без шифрования.
Постоянный адрес страницы: http://www.hypercomp.ru/articles/configuring-cisco-router-for-dialin-pptp-access/
Комментарии [55]
|