wersja polska english version

VPNonline.pl – Polski VPN - Szybki i Bezpieczny VPN, zmiana adresu IP VPNonline.pl – Polski VPN - Szybki i Bezpieczny VPN, zmiana adresu IP

Konfiguracja klienta VPN L2TP – Cisco Router IOS

Konfiguracja klienta VPN L2TP – Cisco Router IOS

Przykład konfiguracji został przetestowany na Cisco 881 z licencją advipservices

IOS: c880data-universalk9-mz.124-24.T4.bin

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
memory-size iomem 10
!
ip source-route
!
!  wykluczenie adresu interfejsu LAN routera z rozgłaszania przez serwer dhcp
ip dhcp excluded-address 192.168.1.1
!
!  serwer dhcp dla sieci LAN
ip dhcp pool DHCP-LAN
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 208.67.222.222
!
!
ip cef
no ip domain lookup
ip domain name yourdomain.com
no ipv6 cef
!
!
!
vtp version 2
!
!  konfigurujemy ustawienia vpn (faza 1) isakmp
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
 lifetime 4000
!
! wpisujemy współdzielony klucz "vpnonline.pl" i wpisujemy adres ip serwera VPN
crypto isakmp key 0 vpnonline.pl address *adres IP serwera VPN*
!
!
!  definiujemy ustawienia transform-set dla połączeń vpn (faza 2) IPsec
crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
 mode transport
!
!
!  definiujemy ustawienia crypto-mapy, adres serwera VPN, transform-set oraz access-listę
crypto map L2TP-IPSEC 10 ipsec-isakmp
 set peer *adres ip serwera vpn*
 set transform-set ESP-AES256-SHA1
!  access-lista wskazuje jaki ruch będzie inicjował tunel vpn
 match address L2TP-IPsec
!
archive
 log config
  hidekeys
!
!  ustawiamy pseudowire dla połączenia l2tp
pseudowire-class pwclass1
 encapsulation l2tpv2
!  wstawiamy interfejs WAN routera
 ip local interface FastEthernet4
 ip pmtu
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 description interface WAN
 ip address *publiczny adres ip*
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!  do interfejsu WAN przypinamy zdefiniowaną wcześniej crypto-map
 crypto map L2TP-IPSEC
!
!
!  tworzymy nowy interfejs ppp
interface Virtual-PPP1
 description interface VPN
 ip address negotiated
 ip mtu 1400
 ip nat outside
 ip virtual-reassembly max-reassemblies 64
 no cdp enable
 ppp authentication ms-chap-v2 callin
!  wpisujemy nazwe użytkownika do usługi vpn
 ppp chap hostname *twoj login*
!  wpisujemy hasło do usługi vpn
 ppp chap password 0 *twoje hasło*
!  wpisujemy adres ip serwera vpn
 pseudowire *adres ip serwera vpn* 1 pw-class pwclass1
!
interface Vlan1
 description interface LAN
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!  po skonfigurowaniu route-mapy "Traffic-via-VPN-L2TP" przypinamy ją do interfejsu LAN
 ip policy route-map Traffic-via-VPN-L2TP
!
!
!  konfigurujemy NAT przez route-mapę dla połączeń przez lokalny adres ip
ip nat inside source route-map NAT-via-Local-ISP interface FastEthernet4 overload
!
!  konfigurujemy NAT przez route-mapę dla połączeń vpn
ip nat inside source route-map NAT-via-VPN-L2TP interface Virtual-PPP1 overload
!
!  definiujemy access-listę dla route-mapy "L2TP-IPSEC"
ip access-list extended L2TP-IPsec
 permit udp host *adres ip z interfejsu WAN* host *adres ip serwera vpn* eq 1701
!
!  definiujemy adresy, które mają być NATowane przez lokalne łącze WAN do Internetu
!  wykluczamy (deny) z NATowania adresy, które chcemy NATować przez interfejs VPN
ip access-list extended NAT-Local-ISP
 deny   ip host 192.168.1.11 any
 permit ip 192.168.1.0 0.0.0.255 any
!
!  definiujemy adresy ip, które mają być natowane przez interfejs Virtual-PPP1 (VPN)
ip access-list extended NAT-VPN-L2TP
 permit ip 192.168.1.0 0.0.0.255 any
!
!  definiujemy adresy hostów, które mają wyjść przez vpn do Internetu
!  w tym przypadku, będzie to jeden host 192.168.1.11, oczywiście można dodać kolejne komputery
ip access-list extended Traffic-via-VPN-L2TP
 permit ip host 192.168.1.11 any
!
no cdp run
!
!
!
!  konfigurujemy route-mapę, która przeNATuje ruch do Internetu przez lokalny adres IP
route-map NAT-via-Local-ISP permit 20
 match ip address NAT-Local-ISP
 match interface FastEthernet4
!
!  konfigurujemy route-mapę, która przeNATuje ruch przez VPN
route-map NAT-via-VPN-L2TP permit 10
 match ip address NAT-VPN-L2TP
 match interface Virtual-PPP1
!
!  konfigurujemy route-mapę, która przeROUTEuje hosty do serwera vpn i dalej do Internetu
!  route-map "Traffic-via-VPN-L2TP" przypinamy do interfejsu LAN
route-map Traffic-via-VPN-L2TP permit 10
 match ip address Traffic-via-VPN-L2TP
!  adres ip bramy dla klienta vpn. Nie zmieniamy tego adresu dla VPNonline !!!
 set ip next-hop 10.100.201.254
!
!
!
control-plane
!
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 privilege level 15
 login local
 transport input ssh
!
scheduler max-task-time 5000
end

Wersja IOS 15.0 - w razie problemów z uwierzytelnieniem przez chapv2 proszę usunąć "ppp authentication ms-chap-v2 callin"
z konfiguracji interfejsu Virtual-PPP1:

interface Virtual-PPP1
 ip address negotiated
 ip mtu 1400
 ip nat outside
 ip virtual-reassembly max-reassemblies 64
 ppp authentication ms-chap-v2 callin  --- USUNĄĆ W RAZIE PROBLEMÓW Z UWIERZYTELNIENIEM
 ppp chap hostname vpnusername
 ppp chap password 0 vpnpassword
 no cdp enable
 pseudowire 212.66.98.45 1 pw-class pwclass1