Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как настроить VPN на CISCO 2611?

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3

Открыть новую тему     Написать ответ в эту тему

vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
При попытке установки MSCEP на Windows2000 все нормально устанавливается, но при попытке протестировать установку набрав в Эксплорере адрес  
http://myserver/certsrv/mscep/mscep.dll сервер выдает внутреннюю ошибку 500. Есть подозрение, что mscep.dll устаревшей версии. Может есть у кого свежая версия иди кто-то знает, из за чего может быть ошибка?
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 14:02 15-07-2007
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Проблема решена. MSCEP оказался ни при чем, виноват какой-то вирусняк на Windows2000, не позволявший mscep.dll нормально загружаться. Вирус искать не стал, переустановил систему на Windows2003, все заработало с полпинка.
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 13:38 29-07-2007
LYNX



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
thank to slut
Всего записей: 126 | Зарегистр. 01-10-2003 | Отправлено: 08:00 21-02-2008
y2kill



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
http://www.opennet.ru/base/cisco/gre_tunnel_conf.txt.html
 
отличие от вашей ситуации то что тунель можно и награничных построить..
Всего записей: 94 | Зарегистр. 17-06-2002 | Отправлено: 17:51 22-02-2008
Kachynauskas

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Enito - зайдите на циску через WEB- интерфейс и через SDM настройте IPSEC сервер - все предельно просто. Более понятная вещь чем с командной строки конфигурить.
Всего записей: 20 | Зарегистр. 08-05-2008 | Отправлено: 11:37 06-10-2008
enito



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Спасибо!
Всего записей: 48 | Зарегистр. 22-06-2005 | Отправлено: 20:02 06-02-2009
4kusnik



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Прошу просвятить по следующему вопросу: есть офис в Ташкенте в котором есть Cisco 2800 роутер. От этого офиса нужно протянуть ВПН туннель до сервера, стоящего в Дата-Центре в Москве. Сервак то ли на винде то ли на фряхе. Точно сейчас сказать не могу. Вопрос: возможно ли в описанном случае протянуть ВПН туннель? Если да то кто будет клиентом, а кто сервером и с чего нужно начинать?
Всего записей: 463 | Зарегистр. 09-03-2008 | Отправлено: 16:11 03-03-2009
slut



Advanced Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
4kusnik
регулярно работает, простое описание:
http://www.opennet.ru/base/cisco/ipsec_linux_cisco.txt.html
Всего записей: 1813 | Зарегистр. 31-10-2002 | Отправлено: 16:40 03-03-2009
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4kusnik Можно и без VPN. Тупо кидаем простой туннель ip-ip и не важно кто сервер или клиент. Туннель ip-ip поддерживает и cisco и фряха  и  линукс и Windows 2000 сервер, в сервер 2003 почему-то эту возможность в RRAS убрали, лично мое мнение  - зря.  
Туннель кинуть не проблема, кто будет сервер или клиент решать вам и какой протокол выбрать тоже решать вам. Туннель ip-ip да не секурный, но это не значит, что его очень просто перехватить, поскольку источник и пункт назначения жестко прописаны по ip. Судя по вопросу вам лучше для  начала попробовать туннель ip-ip, ну если хотите с шифрованием, тогда как  и сказал slut юзайте ipsec.  Начинать само собой с чтения доков и примеров нужно.


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 12264 | Зарегистр. 10-12-2003 | Отправлено: 17:22 03-03-2009 | Исправлено: ipmanyak, 17:24 03-03-2009
4kusnik



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Можно и без VPN. Тупо кидаем простой туннель ip-ip и не важно кто сервер или клиент.

 
ipmanyak, а как называется такое туннелирование?
Всего записей: 463 | Зарегистр. 09-03-2008 | Отправлено: 18:11 03-03-2009
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4kusnik Я же сказал ip-ip  
для примера:  
 на линуксе  
/IPROUTE2/iproute2/ip/ip tunnel add tunl1 mode ipip remote IP_УД_ХОСТА  local ТВОЙ_ВНЕШ_IP  
ifconfig tunl1 192.168.53.1 pointopoint 192.168.53.2 up  
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.53.2 # сеть которую рутим в туннель  
 
на циске просто создаешь туннель    - тип ip-ip  
interface Tunnel12  
 description ***  to Server Linux  ***  
 bandwidth 128  #  эт на твое усмотрение можно и не писать
 ip address 192.168.53.2 255.255.255.252  
 no ip directed-broadcast  
 tunnel source ТВОЙ_ВНЕШ_IP_циски
 tunnel destination IP_УД_ХОСТА_линукс
 tunnel mode ipip
 
ну и маршрут сети в туннель на циске не забыть ака 192.168.1.0   данном случае.  
ну где-то так
 
Если у тебя  windows 2000 server:
Маршрутизация и удаленный доступ к сети (RRAS), правой кнопой на Интерфейсы маршрутизации - Создать IP-туннель.
 
 


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 12264 | Зарегистр. 10-12-2003 | Отправлено: 19:04 03-03-2009 | Исправлено: ipmanyak, 19:06 03-03-2009
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А в Москве на циску денег не хватает?
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 23:13 03-03-2009
I_Winter_I_I_Wolf_I



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
А вот подскажите по такой ситуации - мне нужно соединить два удаленных офиса туннелем + чтобы пользователь (и не один) мог из дома или откуда еще через VPN-клиент сидеть в офисной сети.
Что проще - настроить одну циску в виде VPN-сервера, а вторую - в виде клиента, или поднять между ними туннель + VPN-сервер на одной из них?
Всего записей: 541 | Зарегистр. 13-03-2008 | Отправлено: 12:56 03-12-2009
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
настроить одну циску в виде VPN-сервера, а вторую - в виде клиента, или поднять между ними туннель + VPN-сервер на одной из них?

ИМХО, второй вариант предпочтительней. А VPN-сервер можно поднять на обеих, и пусть клиенты из дома ходят в тот офис, который им нужен. Иначе неэффективно будет расходоваться трафик.
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 14:04 03-12-2009
I_Winter_I_I_Wolf_I



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary
А, понял. Да, хоть и безлимитка, но канал незачем загружать, жаль, сам не догадался...
 
Еще вопрос тогда - насколько безопасен GRE? Туннель пойдет через обычный интернет, в офисах разные провайдеры.
Всего записей: 541 | Зарегистр. 13-03-2008 | Отправлено: 05:58 04-12-2009
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Еще вопрос тогда - насколько безопасен GRE?  
Если вам особо нечего скрывать, то можете пользоваться нешифрованным каналом. Если хотите соблюсти секурность и готовы на дополнительные накладные расходы типа некоторого увеличения объема трафика и снижения быстродействия, то зашифруйте трафик в тоннеле по IPSec  
Вот даже и примерчик есть
Configuring Router-to-Router IPsec (Pre-shared Keys) on GRE Tunnel with IOS Firewall and NAT
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 13:51 04-12-2009
I_Winter_I_I_Wolf_I



Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Еще вопрос:
Когда задаешь ключ в строке
crypto isakmp key 123456 address 192.168.100.201
можно задать ключ в явном виде (цифра 0), а можно в шифрованном (цифра 6)
Каким алгоритмом/программой шифровать ключ?
Всего записей: 541 | Зарегистр. 13-03-2008 | Отправлено: 12:53 14-01-2010 | Исправлено: I_Winter_I_I_Wolf_I, 12:53 14-01-2010
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Каким алгоритмом/программой шифровать ключ?
Когда ключ задается в явном виде, циска его сама шифрует, и в конфиге он фигурирует уже зашифрованный.
В конфиге циски нужно задать строчку service password-encryption
если ее там нет
Всего записей: 17290 | Зарегистр. 13-06-2007 | Отправлено: 18:53 14-01-2010
Flawless

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
можно сюда написать?)
cisco 1721
сейчас
настроен впн для клиентов, подключающихся через инет с винды, имеющие доступ во всю локальную подсеть
 
нужно
разделить впн-клиентов на 2 части
1 часть (с одним логином, с отдельным ip local pool - 5-10 адресов) чтобы имела доступ во всю подсеть
2 часть (с другим логином, с отдельным ip local pool - где-то 40 адресов) чтобы имела доступ только на отдельный хост
 
 
уважаемые, подскажите как реализовать?
Всего записей: 56 | Зарегистр. 21-11-2005 | Отправлено: 13:13 24-12-2010
djaksons

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Привет Всем! Нужна помощь по настройке VPN в одну из сетей.
Схемку сети прилагаю.
NAT поднял все ОК из обоих сетей и VPN на внутреннем сервере за NAT
Статики на порту WAN у меня нет соединение PPPOE а статика вешается провайдером на мое соединение.
 
Задача поднять сервис VPN самой циски и разрешить подключение к сети 192.168.3.0
Вопросы как создать соединение из вне -? как правильно прикрутить внешний ИП.
Как указать куда пробрасывать клиента VPN в нужную сеть.
Ну если не трудно черкните нужные строки в мой конфиг.
 
<192.168.2.8>----<192.168.2.10 - CISCO - 192.168.3.1>-----<192.168.3.8>
                                                       |
                                                       |
                                                    WAN
 
 
vpdn enable
!
vpdn-group 1
 ! Default PPTP VPDN group
 accept-dialin
  protocol pptp
  virtual-template 1
 l2tp tunnel timeout no-session 15
 ip pmtu
 ip mtu adjust
!
username vpnuser1 password 7 xxxx
username vpnuser2 password 7 xxxx
!
interface GigabitEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/0.909
 encapsulation dot1Q 909
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/1
 ip address 192.168.2.10 255.255.255.0
 ip access-group OUTLAN1 in
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface GigabitEthernet0/2
 ip address 192.168.3.1 255.255.255.0
 ip access-group OUTLAN2 in
 ip nat inside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip virtual-reassembly in
 peer default ip address pool VPN1
 no keepalive
 ppp encrypt mppe auto
 ppp authentication chap eap ms-chap ms-chap-v2
!
interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 ip tcp adjust-mss 1432
 dialer pool 1
 ppp authentication chap callin
 ppp chap hostname xxxxxx
 ppp chap password yyyyyy
 no cdp enable
!
!
ip local pool VPN1 192.168.3.101 192.168.3.150
!
!
ip nat pool WANPOOL <<внеш ip>> <<внеш ip>> netmask 255.255.255.0
ip nat inside source list 10 pool WANPOOL overload
ip nat inside source static tcp 192.168.2.8 1723 <<внеш ip>> 1723 extendable
ip route 0.0.0.0 0.0.0.0 Dialer1
!
ip access-list extended OUTLAN1
 permit tcp any any established
 permit ip host 192.168.2.8 any
 
ip access-list extended OUTLAN2
 permit tcp any any established
 permit ip host 192.168.3.8 any
!
access-list 10 permit 192.168.2.0 0.0.0.255
access-list 10 permit 192.168.3.0 0.0.0.255
dialer-list 1 protocol ip permit
Всего записей: 7 | Зарегистр. 05-02-2011 | Отправлено: 20:34 30-08-2011
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Как настроить VPN на CISCO 2611?


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru