VPNサーバーとしてのCisco877?
ADSL回線、単一のパブリックIPアドレス、およびNATを使用してネットワークをインターネットに接続するCisco877ルーターがあります。 IOSバージョンは15です。
すべて正常に機能していますが、外部からネットワークに接続できるように、このルーターをVPNサーバーとして構成したいと思います。
ドキュメントを探してみましたが、877をVPNクライアントとして機能させること、またはサイト間で見つけることができます。 VPN;単一のリモートコンピューターに内部ネットワークへのアクセスを許可することについては何も見つかりません。これは、WindowsのRRASまたはISAサーバーを使用して非常に簡単に実行できることです。
- Cisco 877はリモートクライアントコンピュータのVPNサーバーとして機能できますか? (あるべきように見えますが、念のため...)
- どのタイプのVPNがサポートされていますか?クライアントマシンに特別なソフトウェアが必要ですか、それとも標準のすぐに使用できるWindowsコンピューターで使用できますか?
- そして最後に、これを設定する方法は?
編集:
私は877がSOHOルーターであることを知っており、それはVPNサーバーとして最良の選択ではありません。これは私のホームネットワークです。私は(現時点では)1台のコンピューターしか持っておらず、私が唯一のユーザーです。私は間違いなくnotになっているときに自分のPCに到達できるようにエンタープライズグレードのルーターを購入します職場で:-p
編集2:
私は本当にこれに固執しています、多くのテストの後、私はそれを動かすことができませんでした。 が完全に機能するソリューションに与えられる質問(へのポインタではなく)に賞金を追加します不可解なシスコのドキュメントまたは無関係なシナリオ)。
人々が助けてくれるようにするために、これが私の現在のルーター構成です(無関係で個人的な詳細を取り除いたものです)。誰かが最終的に私がこれを機能させるのを手伝ってくれることを願っています。
主なポイント:
- 4つのイーサネットインターフェイスはすべてVLAN 1に割り当てられます。
- 内部ネットワークは192.168.42.0/24、ルーターのIPアドレスは192.168.42.1です。
- 外部IPアドレスはISPから提供されます。これはパブリックで静的なものであり、完全にルーティング可能です。
- NATは(もちろん)有効になっています。
- ADSL接続は問題なく動作します。
- ルーターは内部ネットワークのDNSサーバーであり、ISPのDNSにクエリを転送します。
- ネットワークにDHCPサーバーがありません。
- 特権レベル15の単一のユーザーアカウントがあります。
私が欲しいもの:
- VPNサーバーとして機能し、外部クライアントが内部ネットワークにアクセスできるようにするルーター。
- L2TPが優先されますが、PPTPでも問題ありません。
- 可能であれば、これをWindowsの組み込みVPNクライアント(PPTPおよびL2TPをサポートする)で動作させたい)、Cisco VPNクライアントなどを外部コンピューターにインストールしたくないそれらが接続できるようにするために。
これが設定です:
version 15.0
service password-encryption
hostname Cisco877
aaa new-model
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
aaa session-id common
ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef
password encryption aes
username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>
ip ssh version 2
interface ATM0
no ip address
no atm ilmi-keepalive
interface ATM0.1 point-to-point
pvc 8/75
encapsulation aal5mux ppp dialer
dialer pool-member 1
interface FastEthernet0
spanning-tree portfast
interface FastEthernet1
spanning-tree portfast
interface FastEthernet2
spanning-tree portfast
interface FastEthernet3
spanning-tree portfast
interface Vlan1
ip address 192.168.42.1 255.255.255.0
ip nat inside
ip virtual-reassembly
interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>
ip forward-protocol nd
ip dns server
ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0
access-list 1 permit 192.168.42.0 0.0.0.255
dialer-list 1 protocol ip permit
エヴァンの素晴らしいサポートと このページ を使用して、ようやくそれを機能させることができました。
私はここに完全な構成を投稿し、参照として残すためにこの回答を受け入れていますが、もちろん、恩恵はエヴァンに行きます:-)
これは、PPTPおよびL2TPダイヤルインVPNアクセスを有効にするために、ルーターの構成に追加する必要があるものです。
aaa authentication ppp default local
vpdn enable
vpdn-group VPN_Clients
accept-dialin
protocol any
virtual-template 1
no l2tp tunnel authentication
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
mode transport
crypto dynamic-map VPN_DYN_MAP 1
set nat demux
set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP
interface Dialer0
crypto map VPN_MAP
ip local pool VPN_POOL 192.168.42.240 192.168.42.249
interface Virtual-Template1
ip unnumbered Vlan1
ip nat inside
peer default ip address pool VPN_POOL
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap-v2 ms-chap chap
注1:VPNユーザーを認証するには、より安全なusername <user> password <password>ではなく、コマンドusername <user> secret <password>を使用してパスワードを設定する必要があります。そうしないと、MD5が原因で認証が失敗します。 -暗号化されたパスワードはCHAPと互換性がありません。これは文書化されています ここ 。
注2:この構成は、内部ネットワークの一部であるIPアドレスをVPNクライアントに割り当てます。別のサブネットを使用すると、クライアントにLANへの静的ルートを提供する必要があるため、これが最も簡単な方法です。それは確かにより安全ですが、ホームネットワークへの単純なアクセスのためにそれは単に面倒な価値がありません。
したがって、CiscoのWebサイトによると、はい、877をサーバーにすることができます。しかし、私はそれに対して強くお勧めします。ヘッドエンド2800ルーターに接続している871ルーターでVPNソリューションをセットアップしましたが、あらゆる種類の問題がありました。ローエンドデバイスは、多くの同時VPN接続を処理するようには作られていません。私の推奨は、VPNモジュールを備えた2800または3800シリーズルーターを購入することです。ハードウェアモジュールは、より多くの接続を可能にしますが、接続をより適切に処理します。
すべてをどのように設定し、ヘッドエンドをどこに配置するかはあなた次第ですが、今日の877と同じように、ヘッドエンドをネットワークの外側に配置するのがおそらく最も簡単だと思います。以下のリンクには、これを行うための多くの方法がありますが、最も簡単なのは、現在のようなヘッドエンドを使用することですが、ハードウェアはより強力です。
それらのリンクのスペースを取り出し、2番目のリンクで「EasyVPN」を検索します。
http://www.Cisco.com/en/US/products/sw/secursw/ps5299/
http://www.Cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf
これは、このようなルーターを実際にテストすることなく、私の試みです。以下を設定に追加してください:
vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local
これにより、VPNダイヤルアップ(VPDN)が有効になり、着信PPTPを受け入れるVPDNグループが作成され、クライアントに割り当てるIPプールが作成され、クライアントに割り当てられる仮想テンプレートインターフェイスが作成され、PPP users。MS-CHAPおよびMPPE暗号化が必要になります(とにかくWindowsのデフォルトです)。
私は最初の試みでそれが正しくなるかどうかを知りたいと思っています...または、実際には、まったく。