Настройка VPN туннеля с поддержкой удаленных пользователей на Cisco IOS

Одновременное использование VPN соединений между локальными сетями (lan2lan) и VPN соединений удаленного доступа (remote access) требуют особого внимания.

1. crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
Необходимо добавлять параметр no-xauth для IP адреса удаленного устройства в Lan2Lan VPN.

2. crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
Используйте порядковый номер 65535 для удаленных пользователей что бы избежать конфликтов с другими VPN соединениями.

Пример конфигурации Cisco IOS рутера с двумя типами VPN соединений:


crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2

crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth

crypto isakmp client configuration group REMOTEGROUP
 key 
 dns 10.18.19.2
 pool REMOTEPOOL
 acl 110
!
!
crypto ipsec transform-set REMOTEVPN esp-3des esp-sha-hmac 
!
crypto dynamic-map DYNMAP 10
 set transform-set REMOTEVPN 
!
!

crypto map VPNMAP client authentication list vpnuserauth
crypto map VPNMAP isakmp authorization list vpngroupauthor
crypto map VPNMAP client configuration address respond

crypto map VPNMAP 5 ipsec-isakmp 
 set peer 213.219.124.154
 set transform-set REMOTEVPN 
 set pfs group2
 match address VPN_ACL

crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP

ip local pool REMOTEPOOL 192.168.100.10 192.168.100.20

Cisco VPN клиент и 3G модемы

VPN клиент Cisco не работает с 3G модемами на Windows 7. VPN соединение устанавливается, но данные не могут попасть в туннель.
Проблема официально подтверждается в документации: The VPN Client on Windows 7 does not support WWAN devices (also called wireless data cards).

Что бы решить эту проблему, необходимо установить DNE компонент от Citrix:

Для 32-битных ОС: ftp://files.citrix.com/dneupdate.msi
Для 64-битных ОС: ftp://files.citrix.com/dneupdate64.msi

После перезагрузки, VPN будет работать.

Источник: https://supportforums.cisco.com/thread/2017102