aaa new-model
aaa authentication login VPN local
aaa authorization network VPN local
// здесь слово VPN задает имя шаблона, который используется для авторизации/аутентификации, за ним должен идти список методов, которые для этого используются. Можно, например, подцепить Radius-сервер и проинтегрировать сервис с AD. В данном случае я выбираю local - проверка будет происходить с использованием базы логинов/паролей на самом успройстве.
username vpnuser@VPN-USERS privilege 15 password 7 070C285F4D06
//эта команда создает пользователя vpnuser, члена группы VPN-USERS и задает ему пароль. При задании настроек впн-соединения следует указывать имя пользователя в виде vpnuser@VPN-USERS.
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN-USERS
key cisco
pool VPN_POOL
acl ACL_SPLIT_VPN
//здесь создается группа VPN-USERS, ей назначается пароль cisco, определяется пул адресов, который будет выдаваться подключившимся пользователям. Команда acl определяет какой трафик будет заворачиваться в туннель. Когда я тестил впн на убунте, оригинальный маршрут по умолчанию сохранялся, и добавлялся маршрут в сети, на которые указыает ACL_SPLIT_VPN. Без этой команды весь трафик идет по дефолту через туннель.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map CRMAPDYN_EZVPN 10
set transform-set ESP-3DES-MD5
reverse-route
!
!
crypto map CRMAP_VPN client authentication list VPN
crypto map CRMAP_VPN isakmp authorization list VPN
crypto map CRMAP_VPN client configuration address respond
crypto map CRMAP_VPN 10 ipsec-isakmp dynamic CRMAPDYN_EZVPN
!
!
!
interface FastEthernet0/1
ip address 88.85.195.156 255.255.255.0
crypto map CRMAP_VPN
!
ip local pool VPN_POOL 192.168.0.13 192.168.0.15
ip forward-protocol nd
!
!
ip nat inside source route-map NAT interface FastEthernet0/1 overload
//настраиваем нат для хостов, работающих за нашим маршрутизатором. В качестве сорса использует роут-мап, который матчит аксесс-лист. Адреса которые попадают в deny не транслируются. В нашем случае это адреса, которые выдаются впн-пользователям, чтобы трафик корректно уходил обратно в туннель.
ip access-list extended ACL_SPLIT_VPN
permit ip 192.168.0.0 0.0.0.255 192.168.0.12 0.0.0.3
ip access-list extended FIREWALL
permit esp any any
permit ahp any any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
//аксесс-лист, который навешивается на интерфейс, смотрящий в интернет. Здесь я оставил только правила, необходимые для установки впн-соединения.
access-list 100 deny ip any 192.168.0.12 0.0.0.3
access-list 100 permit ip any any
!
route-map NAT permit 10
match ip address 100
!
Чтобы пользователя можно было добавить только в одну группу, можно использовать команду group-lock.
По материалам статьи: www.anticisco.ru/blogs/?p=1500
aaa authentication login VPN local
aaa authorization network VPN local
// здесь слово VPN задает имя шаблона, который используется для авторизации/аутентификации, за ним должен идти список методов, которые для этого используются. Можно, например, подцепить Radius-сервер и проинтегрировать сервис с AD. В данном случае я выбираю local - проверка будет происходить с использованием базы логинов/паролей на самом успройстве.
username vpnuser@VPN-USERS privilege 15 password 7 070C285F4D06
//эта команда создает пользователя vpnuser, члена группы VPN-USERS и задает ему пароль. При задании настроек впн-соединения следует указывать имя пользователя в виде vpnuser@VPN-USERS.
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group VPN-USERS
key cisco
pool VPN_POOL
acl ACL_SPLIT_VPN
//здесь создается группа VPN-USERS, ей назначается пароль cisco, определяется пул адресов, который будет выдаваться подключившимся пользователям. Команда acl определяет какой трафик будет заворачиваться в туннель. Когда я тестил впн на убунте, оригинальный маршрут по умолчанию сохранялся, и добавлялся маршрут в сети, на которые указыает ACL_SPLIT_VPN. Без этой команды весь трафик идет по дефолту через туннель.
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
!
crypto dynamic-map CRMAPDYN_EZVPN 10
set transform-set ESP-3DES-MD5
reverse-route
!
!
crypto map CRMAP_VPN client authentication list VPN
crypto map CRMAP_VPN isakmp authorization list VPN
crypto map CRMAP_VPN client configuration address respond
crypto map CRMAP_VPN 10 ipsec-isakmp dynamic CRMAPDYN_EZVPN
!
!
!
interface FastEthernet0/1
ip address 88.85.195.156 255.255.255.0
crypto map CRMAP_VPN
!
ip local pool VPN_POOL 192.168.0.13 192.168.0.15
ip forward-protocol nd
!
!
ip nat inside source route-map NAT interface FastEthernet0/1 overload
//настраиваем нат для хостов, работающих за нашим маршрутизатором. В качестве сорса использует роут-мап, который матчит аксесс-лист. Адреса которые попадают в deny не транслируются. В нашем случае это адреса, которые выдаются впн-пользователям, чтобы трафик корректно уходил обратно в туннель.
ip access-list extended ACL_SPLIT_VPN
permit ip 192.168.0.0 0.0.0.255 192.168.0.12 0.0.0.3
ip access-list extended FIREWALL
permit esp any any
permit ahp any any
permit udp any any eq isakmp
permit udp any any eq non500-isakmp
//аксесс-лист, который навешивается на интерфейс, смотрящий в интернет. Здесь я оставил только правила, необходимые для установки впн-соединения.
access-list 100 deny ip any 192.168.0.12 0.0.0.3
access-list 100 permit ip any any
!
route-map NAT permit 10
match ip address 100
!
Чтобы пользователя можно было добавить только в одну группу, можно использовать команду group-lock.
По материалам статьи: www.anticisco.ru/blogs/?p=1500
Комментариев нет:
Отправить комментарий