Настройка VPN туннеля с поддержкой удаленных пользователей на Cisco IOS

Одновременное использование VPN соединений между локальными сетями (lan2lan) и VPN соединений удаленного доступа (remote access) требуют особого внимания.

1. crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
Необходимо добавлять параметр no-xauth для IP адреса удаленного устройства в Lan2Lan VPN.

2. crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
Используйте порядковый номер 65535 для удаленных пользователей что бы избежать конфликтов с другими VPN соединениями.

Пример конфигурации Cisco IOS рутера с двумя типами VPN соединений:

[code]

crypto isakmp policy 1
encr aes 256
authentication pre-share
group 2

crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth

crypto isakmp client configuration group REMOTEGROUP
key
dns 10.18.19.2
pool REMOTEPOOL
acl 110
!
!
crypto ipsec transform-set REMOTEVPN esp-3des esp-sha-hmac
!
crypto dynamic-map DYNMAP 10
set transform-set REMOTEVPN
!
!

crypto map VPNMAP client authentication list vpnuserauth
crypto map VPNMAP isakmp authorization list vpngroupauthor
crypto map VPNMAP client configuration address respond

crypto map VPNMAP 5 ipsec-isakmp
set peer 213.219.124.154
set transform-set REMOTEVPN
set pfs group2
match address VPN_ACL

crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP

ip local pool REMOTEPOOL 192.168.100.10 192.168.100.20

[/code]

Cisco VPN клиент и 3G модемы

VPN клиент Cisco не работает с 3G модемами на Windows 7. VPN соединение устанавливается, но данные не могут попасть в туннель.
Проблема официально подтверждается в документации: The VPN Client on Windows 7 does not support WWAN devices (also called wireless data cards).

Что бы решить эту проблему, необходимо установить DNE компонент от Citrix:

Для 32-битных ОС: ftp://files.citrix.com/dneupdate.msi
Для 64-битных ОС: ftp://files.citrix.com/dneupdate64.msi

После перезагрузки, VPN будет работать.

Источник: https://supportforums.cisco.com/thread/2017102