Cisco 877 como um servidor VPN?

Navegue suas respostas
5

Eu tenho um roteador Cisco 877 que conecta minha rede à Internet usando uma linha ADSL, um único endereço IP público e NAT; a versão do IOS é 15.

Tudo está funcionando bem, mas gostaria de configurar este roteador para ser um servidor VPN, para poder conectar-se à rede a partir do exterior.

Eu tentei procurar por documentação, mas tudo que eu posso encontrar está relacionado a ter o 877 agindo como um cliente VPN , ou para VPNs site-to-site; Não consigo encontrar nada sobre deixar que computadores remotos acessem a rede interna, o que é algo que eu posso fazer com bastante facilidade usando o RRAS ou o ISA Server do Windows.

  • O Cisco 877 pode atuar como um servidor VPN para computadores clientes remotos? (Parece que deveria, mas só para ter certeza ...)
  • Que tipo de VPN é suportado? Eles exigem algum software especial nas máquinas clientes ou podem ser usados por computadores Windows padrão prontos para uso?
  • E, finalmente: como configurar isso?

Editar:

Eu sei que o 877 é um roteador SOHO e não é a melhor escolha como servidor VPN; mas esta é a minha rede doméstica, eu só tenho um computador (por enquanto) e eu sou o único usuário. Estou definitivamente não indo comprar um roteador de nível empresarial apenas para poder alcançar meu PC quando estou no trabalho :-p

Editar 2:

Eu estou realmente preso a isso, depois de muitos testes eu nunca consegui fazê-lo funcionar. Estou adicionando uma recompensa à pergunta, que será concedida para uma solução totalmente funcional (não para algum ponteiro para a documentação da Cisco enigmática ou cenários não relacionados).

Para permitir que as pessoas ajudem, aqui está minha configuração atual do roteador (com detalhes privados e não relevantes). Vamos esperar que alguém finalmente possa me ajudar a conseguir isso.

Pontos principais:

  • As quatro interfaces Ethernet são atribuídas à VLAN 1.
  • A rede interna é 192.168.42.0/24, o endereço IP do roteador é 192.168.42.1.
  • O endereço IP externo é fornecido pelo ISP; é pública e estática, totalmente roteável.
  • O NAT está (claro) ativado.
    • A conexão ADSL
  • funciona bem.
  • O roteador é o servidor DNS da rede interna, encaminha as consultas para o DNS do provedor.
  • Não há servidor DHCP na rede.
  • Existe uma única conta de usuário com nível de privilégio 15.

O que eu quero:

  • O roteador que atua como um servidor VPN, permitindo que clientes externos acessem a rede interna.
  • O L2TP seria preferido, mas mesmo o PPTP estaria ok.
  • Se possível, quero que isso funcione com o cliente VPN interno do Windows (que suporta PPTP e L2TP); Eu não quero instalar o Cisco VPN Client ou qualquer coisa assim em computadores externos para que eles possam se conectar.

Aqui está a configuração: 

version 15.0

service password-encryption

hostname Cisco877

aaa new-model

aaa authentication login default local
aaa authorization console
aaa authorization exec default local

aaa session-id common

ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef

password encryption aes

username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>

ip ssh version 2

interface ATM0
 no ip address
 no atm ilmi-keepalive

interface ATM0.1 point-to-point
 pvc 8/75
  encapsulation aal5mux ppp dialer
  dialer pool-member 1

interface FastEthernet0
 spanning-tree portfast

interface FastEthernet1
 spanning-tree portfast

interface FastEthernet2
 spanning-tree portfast

interface FastEthernet3
 spanning-tree portfast

interface Vlan1
 ip address 192.168.42.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>

ip forward-protocol nd

ip dns server

ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0

access-list 1 permit 192.168.42.0 0.0.0.255

dialer-list 1 protocol ip permit
    
por Massimo 08.04.2010 / 16:02

3 respostas

1

Finalmente, consegui fazê-lo funcionar usando o excelente suporte da Evan e esta página .

Estou postando a configuração completa aqui e estou aceitando essa resposta para deixar como referência, mas é claro que a recompensa vai para Evan: -)

Isso é o que precisa ser adicionado à configuração do roteador para ativar o acesso VPN de discagem PPTP e L2TP: 

aaa authentication ppp default local

vpdn enable
vpdn-group VPN_Clients
 accept-dialin
  protocol any
  virtual-template 1
 no l2tp tunnel authentication

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
 mode transport
crypto dynamic-map VPN_DYN_MAP 1
 set nat demux
 set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP

interface Dialer0
 crypto map VPN_MAP

ip local pool VPN_POOL 192.168.42.240 192.168.42.249

interface Virtual-Template1
 ip unnumbered Vlan1
 ip nat inside
 peer default ip address pool VPN_POOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication ms-chap-v2 ms-chap chap

Observação 1 : para autenticar usuários de VPN, você precisará definir suas senhas com o comando username <user> password <password> em vez do mais seguro username <user> secret <password> , caso contrário, a autenticação falhará, pois as senhas criptografadas por MD5 serão não compatível com CHAP; isso está documentado aqui .

Nota 2 : Esta configuração atribui a endereços IP de clientes VPN que fazem parte da rede interna; essa é a abordagem mais fácil, pois o uso de uma sub-rede diferente exigiria fornecer aos clientes uma rota estática para a LAN. De fato, seria mais seguro, mas para um acesso simples a uma rede doméstica, simplesmente não vale a pena o incômodo.

    
por 01.07.2011 / 15:50
1

Então, de acordo com o site da Cisco, sim, você pode ter seu 877 como um servidor. Mas eu recomendo strongmente contra isso. Eu configurei uma solução VPN com os roteadores 871 conectados a um roteador 2800 head end e tive todos os tipos de problemas. Dispositivos de extremidade inferior não são feitos para lidar com várias conexões VPN simultâneas. Minha recomendação seria comprar um roteador da série 2800 ou 3800 com um módulo VPN. O módulo de hardware permitirá mais conexões, mas também lidará com as conexões muito melhor.

Como você quer configurar tudo e onde colocar a cabeça no topo depende de você, mas acho que ter a cabeça na parte externa da sua rede, assim como o seu 877 hoje, é provavelmente o mais fácil. Nos links abaixo você encontrará várias maneiras de fazer isso, mas o mais fácil é usar um head-end como o que você tem agora, mas com hardware mais pesado.

Pegue os espaços para esses links e procure o segundo para "Easy VPN".

link

link

link

link

link

    
por 08.04.2010 / 18:03
1

Aqui está minha tentativa sem ter um roteador como este para testar. Adicione o seguinte à sua configuração: 

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local

Isso deve habilitar a discagem VPN (VPDN), criar um grupo VPDN para aceitar PPTP de entrada, criar um pool de IP para atribuir a clientes, criar uma interface de modelo virtual a ser atribuída a clientes e ativar a autenticação local para usuários PPP . A criptografia MS-CHAP e MPPE será necessária (padrões no Windows, acredito).

Estou ansioso para ver se estou certo na primeira tentativa ... ou, na verdade, em tudo.

    
por 29.06.2011 / 23:22

Tags

bind9 configuração de recursão apropriada Gzip incorreto de solicitações http, não é possível encontrar quem está fazendo isso