Настройка PPTP-сервера на маршрутизаторе Cisco [27.02.2007]
Как настроить маршрутизатор Cisco для работы в качестве VPN-сервера через PPTP.
PPTP (Point-to-Point Tunneling Protocol) – один из протоколов туннелирования, применяемых при установке соединения PPP (Point-to-Point Protocol). При создании соединения по PPP, как следует из его названия, устанавливается соединения типа "точка-точка" через общую среду Ethernet. Начиная обмен данными, клиент и сервер PPTP обмениваются адресами и создают соединение, необходимое для работы сессии PPP.
Такой вариант подключения можно использовать для построения сетей с безопасным доступом. Маршруизатор Cisco используется в качестве сервера доступа VPN (через PPTP) и шлюза для доступа в Интернет. Каждому клиенту, подключающемуся по такой схеме, раздается IP-адрес из пула DHCP-сервера, затем происходит авторизация по PPTP. При правильной паре имя пользователя/пароль клиенту выдается также приватный ip адрес из сети 192.168.10.0 с маской подсети 255.255.255.0, который затем будет маршрутизироваться в Интернет с помощью NAT. Для субинтерфейсов используем инкапсуляцию dot1q. Такая схема подключения реализуется на маршрутизаторах Сisco серий 1700, 2600, 2800 и так далее (до 7500 и выше) с поддержкой VPN-функций в используемом Cisco IOS.
aaa new-model
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization exec default local
aaa authorization network default group radius
aaa accounting network default start-stop group radius
aaa accounting system default start-stop group radius
enable secret cisco
enable password cisco
username admin password cisco
ip subnet-zero
no ip rcmd domain-lookup
ip domain-name router
ip name-server 192.168.1.100
ip name-server 192.168.2.100
ip cef
vpdn enable
vpdn-group 1 # PPTP VPDN-группа по умолчанию
accept-dialin
protocol any
virtual-template 1
local name pptp_gateway
interface FastEthernet0/0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
full-duplex
interface FastEthernet0/0.1 # субинтерфейс для соединения с RADIUS-сервером
encapsulation dot1Q 2
ip address 192.168.2.1 255.255.255.0
interface FastEthernet0/0.2 # субинтерфейс для PPTP-клиентов
encapsulation dot1Q 3
ip address 192.168.1.1 255.255.255.0
no ip redirects
ip nat inside
pppoe enable
interface FastEthernet1/0 # внешний интерфейс, подключенный к провайдеру
ip address 212.45.32.145 255.255.252.0 # внешний IP-адрес маршрутизатора Cisco
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip route-cache cef
full-duplex
interface Virtual-Template1
ip unnumbered FastEthernet0/0.2
ip mtu 1492
ip nat inside
autodetect encapsulation ppp
ppp authentication chap callin
ip nat inside source list 4 interface FastEthernet1/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 212.45.32.1 # шлюз по умолчанию, указанный провайдером
no ip http server
ip radius source-interface FastEthernet0/0.1
access-list 4 permit 192.168.3.0 0.0.0.255
radius-server configure-nas
radius-server host 192.168.2.2 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server timeout 30
radius-server key 1234567890123456
end
Для клиентов в Windows XP создаем новое удаленное подключение через VPN, параметры – PPTP, авторизация по CHAP, без шифрования.
Постоянный адрес страницы: http://www.hypercomp.ru/articles/configuring-cisco-router-for-dialin-pptp-access/
Комментарии [55]
| 
