Cisco Easy VPN на примере Cisco 881

Промучался я немного с настройкой данной фичи под стандартный циско клиент. Настроить получилось. Но появились нюансы. Детальнее — под катом.

Задача состояла в том, чтобы предоставить удаленный доступ пользователям к серваку посредством Cisco Easy VPN. Реализовывали это на Cisco 881, т.к. валялась на складе лишняя (((:

Собственно конфиг железки:

version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 1c-vpn
!
boot-start-marker
boot-end-marker
!
!
logging userinfo
enable secret 4 ******************************
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login easy-vpn local
aaa authentication enable default enable
aaa authorization exec default local 
aaa authorization network easy-vpn-group local 
!
!
!
!
!
aaa session-id common
memory-size iomem 10
clock timezone EEST 4 0
!
!
!
!
!
!


!
!
!
!
ip domain name example.com
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
password encryption aes
license udi pid CISCO881-SEC-K9 sn ********************
!
!
username root password 7 ********************
!
!
!
!
!
ip ssh source-interface Vlan9
ip ssh version 2
ip scp server enable
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group easy-vpn-clients
 key 6 *******************************************
 dns 8.8.8.8
 domain tpinv.ru
 pool easy-vpn-ip-pool
 acl 199
 save-password
 include-local-lan
 max-users 5
 max-logins 5
 netmask 255.255.255.0
crypto isakmp profile 1C-easy-vpn-profile
   description easy-vpn ipsec vpn
   match identity group easy-vpn-clients
   client authentication list easy-vpn
   isakmp authorization list easy-vpn-group
   client configuration address respond
   virtual-template 10
!
!
crypto ipsec transform-set easy-vpn-transform esp-3des esp-sha-hmac 
 mode transport
!
crypto ipsec profile easy-vpn-profile
 description easy-vpn ipsec vpn
 set transform-set easy-vpn-transform 
 set isakmp-profile easy-vpn-profile
!
!
!
!
!
!
!
interface FastEthernet0
 description [management]
 switchport trunk allowed vlan 1,9,1002-1005
 switchport mode trunk
 no ip address
!
interface FastEthernet1
 description [vpn-intranet]
 switchport access vlan 129
 no ip address
!
interface FastEthernet2
 no ip address
 shutdown
!
interface FastEthernet3
 no ip address
 shutdown
!
interface FastEthernet4
 description [real-ip]
 ip address *.*.*.* 255.255.255.0
 ip access-group security_in_list in
 ip access-group security_out_list out
 duplex auto
 speed auto
!
interface Virtual-Template10 type tunnel
 description 1C-easy-vpn
 ip unnumbered FastEthernet4
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile 1C-easy-vpn-profile
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan9
 description [mgmnt-vlan]
 ip address 10.4.9.21 255.255.255.0
!
interface Vlan129
 description [1c-intranet-vlan]
 ip address 10.4.129.1 255.255.255.252
!
ip local pool easy-vpn-ip-pool 10.4.99.10 10.74.99.25
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route 0.0.0.0 0.0.0.0 *.*.*.1
!
ip access-list extended security_in_list
 permit esp any host *.*.*.* log
 permit udp any host *.*.*.* eq isakmp log
 permit udp any host *.*.*.* eq non500-isakmp log
 permit udp any host *.*.*.* eq 1701 log
 permit tcp any host *.*.*.* established log
 deny   ip any host *.*.*.* log
ip access-list extended security_out_list
 permit tcp any any
 permit ip any any reflect tmplist timeout 300
!
logging dmvpn
logging trap errors
access-list 22 permit 10.4.9.0 0.0.0.255 log
access-list 199 permit ip 10.4.29.0 0.0.0.255 10.74.99.0 0.0.0.255
access-list 199 permit ip 10.4.129.0 0.0.0.255 10.74.99.0 0.0.0.255
!
!
!
!
control-plane
!
!
!
line con 0
 no modem enable
line aux 0
line vty 0 4
 access-class 22 in
 access-class 22 out
 transport input ssh
 transport output ssh
line vty 5 15
 access-class 22 in
 access-class 22 out
 transport input ssh
 transport output ssh
!
!
end

А теперь особенности. Cisco Easy VPN Client умеет работать только с DH Group 2. Вот только со второй и усе. Детальнее по ссылке.

Но тут мы упираемся исключительно в софт на стороне клиента. Если нам захочется использовать группу отличную от 2ой — милости просим в проект Shrew Soft. Их VPN Client замечательно справляется с поставленной задачей.

Из интересного по конфигу — аксес лист security_in_list. Им мы запрещаем снаружи все, кроме самого нашего впн.

 
comments powered by Disqus