Настройка VPN туннеля с поддержкой удаленных пользователей на Cisco IOS

Одновременное использование VPN соединений между локальными сетями (lan2lan) и VPN соединений удаленного доступа (remote access) требуют особого внимания.

1. crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth
Необходимо добавлять параметр no-xauth для IP адреса удаленного устройства в Lan2Lan VPN.

2. crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP
Используйте порядковый номер 65535 для удаленных пользователей что бы избежать конфликтов с другими VPN соединениями.

Пример конфигурации Cisco IOS рутера с двумя типами VPN соединений:


crypto isakmp policy 1
 encr aes 256
 authentication pre-share
 group 2

crypto isakmp key Pr3sh4r3DKEY address 89.123.45.6 no-xauth

crypto isakmp client configuration group REMOTEGROUP
 key 
 dns 10.18.19.2
 pool REMOTEPOOL
 acl 110
!
!
crypto ipsec transform-set REMOTEVPN esp-3des esp-sha-hmac 
!
crypto dynamic-map DYNMAP 10
 set transform-set REMOTEVPN 
!
!

crypto map VPNMAP client authentication list vpnuserauth
crypto map VPNMAP isakmp authorization list vpngroupauthor
crypto map VPNMAP client configuration address respond

crypto map VPNMAP 5 ipsec-isakmp 
 set peer 213.219.124.154
 set transform-set REMOTEVPN 
 set pfs group2
 match address VPN_ACL

crypto map VPNMAP 65535 ipsec-isakmp dynamic DYNMAP

ip local pool REMOTEPOOL 192.168.100.10 192.168.100.20

OpenVPN рутинг всего трафика через VPN

Чтобы направить весь сетевой траффик через VPN-сервер, необходимо добавить следующие строки в файл конфигурации openVPN (как правило, etc/openvpn/server.conf ).

 push "redirect-gateway def1"
 push "dhcp-option DNS 8.8.8.8"

Добавление публичного DNS сервера Google может быть необходимо, при проблемах c разрешением доменных имен, после соединения VPN.