Настройка VPN туннеля с поддержкой удаленных пользователей на Cisco IOS

Одновременное использование VPN соединений между локальными сетями (lan2lan) и VPN соединений удаленного доступа (remote access) требуют особого внимания.

1. crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
Необходимо добавлять параметр no-xauth для IP адреса удаленного устройства в Lan2Lan VPN.

2. crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
Используйте порядковый номер 65535 для удаленных пользователей что бы избежать конфликтов с другими VPN соединениями.

Пример конфигурации Cisco IOS рутера с двумя типами VPN соединений:

[code]

crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2

crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth

crypto isakmp client configuration group REMOTEGROUP
key
dns 10.18.19.2
pool REMOTEPOOL
acl 110
!
!
crypto ipsec transform-set REMOTEVPN esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set REMOTEVPN
!
!

crypto map VPNMAP client authentication list vpnuserauth
crypto map VPNMAP isakmp authorization list vpngroupauthor
crypto map VPNMAP client configuration address respond

crypto map VPNMAP 5 ipsec-isakmp
set peer 213.219.124.154
set transform-set REMOTEVPN
set pfs group2
match address VPN_ACL

crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP

ip local pool REMOTEPOOL 192.168.100.10 192.168.100.20

[/code]

2 thoughts on “Настройка VPN туннеля с поддержкой удаленных пользователей на Cisco IOS

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *