Промучался я немного с настройкой данной фичи под стандартный циско клиент. Настроить получилось. Но появились нюансы. Детальнее — под катом.
Задача состояла в том, чтобы предоставить удаленный доступ пользователям к серваку посредством Cisco Easy VPN. Реализовывали это на Cisco 881, т.к. валялась на складе лишняя (((:
Собственно конфиг железки:
version 15.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname 1c-vpn ! boot-start-marker boot-end-marker ! ! logging userinfo enable secret 4 ****************************** ! aaa new-model ! ! aaa authentication login default local aaa authentication login easy-vpn local aaa authentication enable default enable aaa authorization exec default local aaa authorization network easy-vpn-group local ! ! ! ! ! aaa session-id common memory-size iomem 10 clock timezone EEST 4 0 ! ! ! ! ! ! ! ! ! ! ip domain name example.com ip name-server 8.8.8.8 ip cef no ipv6 cef ! ! multilink bundle-name authenticated password encryption aes license udi pid CISCO881-SEC-K9 sn ******************** ! ! username root password 7 ******************** ! ! ! ! ! ip ssh source-interface Vlan9 ip ssh version 2 ip scp server enable ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group easy-vpn-clients key 6 ******************************************* dns 8.8.8.8 domain tpinv.ru pool easy-vpn-ip-pool acl 199 save-password include-local-lan max-users 5 max-logins 5 netmask 255.255.255.0 crypto isakmp profile 1C-easy-vpn-profile description easy-vpn ipsec vpn match identity group easy-vpn-clients client authentication list easy-vpn isakmp authorization list easy-vpn-group client configuration address respond virtual-template 10 ! ! crypto ipsec transform-set easy-vpn-transform esp-3des esp-sha-hmac mode transport ! crypto ipsec profile easy-vpn-profile description easy-vpn ipsec vpn set transform-set easy-vpn-transform set isakmp-profile easy-vpn-profile ! ! ! ! ! ! ! interface FastEthernet0 description [management] switchport trunk allowed vlan 1,9,1002-1005 switchport mode trunk no ip address ! interface FastEthernet1 description [vpn-intranet] switchport access vlan 129 no ip address ! interface FastEthernet2 no ip address shutdown ! interface FastEthernet3 no ip address shutdown ! interface FastEthernet4 description [real-ip] ip address *.*.*.* 255.255.255.0 ip access-group security_in_list in ip access-group security_out_list out duplex auto speed auto ! interface Virtual-Template10 type tunnel description 1C-easy-vpn ip unnumbered FastEthernet4 tunnel mode ipsec ipv4 tunnel protection ipsec profile 1C-easy-vpn-profile ! interface Vlan1 no ip address shutdown ! interface Vlan9 description [mgmnt-vlan] ip address 10.4.9.21 255.255.255.0 ! interface Vlan129 description [1c-intranet-vlan] ip address 10.4.129.1 255.255.255.252 ! ip local pool easy-vpn-ip-pool 10.4.99.10 10.74.99.25 ip forward-protocol nd no ip http server no ip http secure-server ! ! ip route 0.0.0.0 0.0.0.0 *.*.*.1 ! ip access-list extended security_in_list permit esp any host *.*.*.* log permit udp any host *.*.*.* eq isakmp log permit udp any host *.*.*.* eq non500-isakmp log permit udp any host *.*.*.* eq 1701 log permit tcp any host *.*.*.* established log deny ip any host *.*.*.* log ip access-list extended security_out_list permit tcp any any permit ip any any reflect tmplist timeout 300 ! logging dmvpn logging trap errors access-list 22 permit 10.4.9.0 0.0.0.255 log access-list 199 permit ip 10.4.29.0 0.0.0.255 10.74.99.0 0.0.0.255 access-list 199 permit ip 10.4.129.0 0.0.0.255 10.74.99.0 0.0.0.255 ! ! ! ! control-plane ! ! ! line con 0 no modem enable line aux 0 line vty 0 4 access-class 22 in access-class 22 out transport input ssh transport output ssh line vty 5 15 access-class 22 in access-class 22 out transport input ssh transport output ssh ! ! end
А теперь особенности. Cisco Easy VPN Client умеет работать только с DH Group 2. Вот только со второй и усе. Детальнее по ссылке .
Но тут мы упираемся исключительно в софт на стороне клиента. Если нам захочется использовать группу отличную от 2ой — милости просим в проект Shrew Soft . Их VPN Client замечательно справляется с поставленной задачей.
Из интересного по конфигу — аксес лист security_in_list. Им мы запрещаем снаружи все, кроме самого нашего впн.