Дано

Виртуальная машина на KVM со свежеустановленной CentOS6 x86_64 minimal.

Задача

1. Установить и настроить в связке pptpd/xl2tpd, freeradius2, radiusclient-ng и mysql.
2. Создать 2-х клиентов для подключения к настроенному VPN-серверу, с выходом в нет четез NAT. Один клиент с динамическим получением адреса, второй с постоянным IP.
3. Перенести pool адресов для раздачи динамическим клиентам из pptpd в radius.

Решение

Первым делом необходимо установить все необходимые пакеты. radiusclient-ng, pptpd и xl2tpd нет в стандартных репозиториях, поэтому для radiusclient-ng и xl2tpd мы подключим EPEL-репозиторий, а pptpd-пакет скачаем напрямую.

# rpm -Uhv http://fedora-epel.mirror.lstn.net/6/x86_64/epel-release-6-5.noarch.rpm
# yum install freeradius freeradius-mysql xl2tpd radiusclient-ng radiusclient-ng-utils freeradius-utils mysql mysql-devel mysql-server
# rpm -Uhv http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.el6.x86_64.rpm

далее настроим mysql и зададим пароль:

# mysql_secure_installation

Собственно, перейдем к настройке pptpd. Приводим файлы настройки к следующему виду:

# cat /etc/pptpd.conf
option /etc/ppp/options.pptpd
logwtmp
localip 192.168.80.1
remoteip 192.168.80.5-35

# cat /etc/ppp/options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
ms-dns 8.8.8.8
ms-dns 8.8.4.4
lock
nobsdcomp
novj
novjccomp
nologfd
lcp-echo-failure 30
lcp-echo-interval 5
ipcp-accept-local
ipcp-accept-remote
plugin radius.so
plugin radattr.so

если решили использовать не pptpd , а xl2tpd, то файлы будут иметь следующий вид:

# cat /etc/xl2tpd/xl2tpd.conf
[global]
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets
access control = no
rand source = dev
[lns default]
exclusive = no
ip range = 192.168.80.5-192.168.81.35
local ip = 192.168.80.1
require chap = yes
refuse pap = yes
require authentication = yes
name = VPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
flow bit = yes

# cat /etc/ppp/options.xl2tpd
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 30
lcp-echo-interval 5
ms-dns 8.8.8.8
ms-dns 8.8.4.4
noccp
nodeflate
auth
crtscts
idle 1800
mtu 1410
mru 1410
defaultroute
debug
proxyarp
connect-delay 5000
lock
plugin radius.so
plugin radattr.so

с pptpd/xl2tpd закончено, переходим к настройке radiusclient-ng:
Первая проблема с которой мы столкнулись, это нежелание pptpd работать с radiusclient-ng из-за путей куда он установлен, поэтому создаем софт-линк следующим образом

# ln -s /etc/radiusclient-ng /etc/radiusclient

и закоментируем в файле /etc/radiusclient-ng/radiusclient.conf строчку

#bindaddr *

иначе ругается на неизвестный параметр.
редактируем /etc/radiusclient-ng/servers , добавляем локальный radius-сервер, к которому будет обращаться клиент

localhost YouRsUpErpAAs

Вторая проблема, с которой нам пришлось столкнуться, это отсутствие в пакете radiusclient-ng атрибутов от mircosoft, после гугления, необходимые артибуты были найдены. Копируем имеющиеся файлы с атрибутами из /usr/share/radiusclient-ng/ в /etc/radiusclient-ng/

cp /usr/share/radiusclient-ng/diction* /etc/radiusclient-ng/

в /etc/radiusclient-ng/ создаем файл dictionary.microsoft со следующим содержимым:

 

VENDOR          Microsoft       311     Microsoft

ATTRIBUTE       MS-CHAP-Response        1       string  Microsoft
ATTRIBUTE       MS-CHAP-Error           2       string  Microsoft
ATTRIBUTE       MS-CHAP-CPW-1           3       string  Microsoft
ATTRIBUTE       MS-CHAP-CPW-2           4       string  Microsoft
ATTRIBUTE       MS-CHAP-LM-Enc-PW       5       string  Microsoft
ATTRIBUTE       MS-CHAP-NT-Enc-PW       6       string  Microsoft
ATTRIBUTE       MS-MPPE-Encryption-Policy 7     string  Microsoft
ATTRIBUTE       MS-MPPE-Encryption-Type 8       string  Microsoft
ATTRIBUTE       MS-MPPE-Encryption-Types  8     string  Microsoft
ATTRIBUTE       MS-RAS-Vendor           9       integer Microsoft
ATTRIBUTE       MS-CHAP-Domain          10      string  Microsoft
ATTRIBUTE       MS-CHAP-Challenge       11      string  Microsoft
ATTRIBUTE       MS-CHAP-MPPE-Keys       12      string  Microsoft
ATTRIBUTE       MS-BAP-Usage            13      integer Microsoft
ATTRIBUTE       MS-Link-Utilization-Threshold 14 integer        Microsoft
ATTRIBUTE       MS-Link-Drop-Time-Limit 15      integer Microsoft
ATTRIBUTE       MS-MPPE-Send-Key        16      string  Microsoft
ATTRIBUTE       MS-MPPE-Recv-Key        17      string  Microsoft
ATTRIBUTE       MS-RAS-Version          18      string  Microsoft
ATTRIBUTE       MS-Old-ARAP-Password    19      string  Microsoft
ATTRIBUTE       MS-New-ARAP-Password    20      string  Microsoft
ATTRIBUTE       MS-ARAP-PW-Change-Reason 21     integer Microsoft
ATTRIBUTE       MS-Filter               22      string  Microsoft
ATTRIBUTE       MS-Acct-Auth-Type       23      integer Microsoft
ATTRIBUTE       MS-Acct-EAP-Type        24      integer Microsoft
ATTRIBUTE       MS-CHAP2-Response       25      string  Microsoft
ATTRIBUTE       MS-CHAP2-Success        26      string  Microsoft
ATTRIBUTE       MS-CHAP2-CPW            27      string  Microsoft
ATTRIBUTE       MS-Primary-DNS-Server   28      ipaddr  Microsoft
ATTRIBUTE       MS-Secondary-DNS-Server 29      ipaddr  Microsoft
ATTRIBUTE       MS-Primary-NBNS-Server  30      ipaddr  Microsoft
ATTRIBUTE       MS-Secondary-NBNS-Server 31     ipaddr  Microsoft
VALUE           MS-BAP-Usage            Not-Allowed     0
VALUE           MS-BAP-Usage            Allowed         1
VALUE           MS-BAP-Usage            Required        2
VALUE   MS-ARAP-PW-Change-Reason        Just-Change-Password            1
VALUE   MS-ARAP-PW-Change-Reason        Expired-Password                2
VALUE   MS-ARAP-PW-Change-Reason        Admin-Requires-Password-Change  3
VALUE   MS-ARAP-PW-Change-Reason        Password-Too-Short              4
VALUE           MS-Acct-Auth-Type       PAP             1
VALUE           MS-Acct-Auth-Type       CHAP            2
VALUE           MS-Acct-Auth-Type       MS-CHAP-1       3
VALUE           MS-Acct-Auth-Type       MS-CHAP-2       4
VALUE           MS-Acct-Auth-Type       EAP             5
VALUE           MS-Acct-EAP-Type        MD5             4
VALUE           MS-Acct-EAP-Type        OTP             5
VALUE           MS-Acct-EAP-Type        Generic-Token-Card      6
VALUE           MS-Acct-EAP-Type        TLS             13

 

редактируем файл /etc/radiusclient-ng/radiusclient.conf на предмет

dictionary /etc/radiusclient-ng/dictionary

редактируем файл /etc/radiusclient-ng/dictionary , добавляя в конец

INCLUDE /etc/radiusclient-ng/dictionary.microsoft
INCLUDE /etc/radiusclient-ng/dictionary.merit

с клиентом тоже закончили, переходим к настройке mysql:
пакет freeradius-mysql содержит необходимые файлы для импорта их в mysql, находятся они в /etc/raddb/sql/mysql/
подредактируем файл admin.sql , что бы задать пароль отличный от стандартного

vim admin.sql
:%s/radpass/radpass235/g
:wq

подключаемся к mysql, создаем DB, импортируем таблицы и создаем пользователей

mysql -p
mysql> create database radius;
mysql> \. admin.sql
mysql> use radius;
mysql> \. schema.sql

далее создаем пользователей и их настройки

mysql> INSERT INTO radusergroup (username,groupname) values ('user1','static-ip-vpn');
mysql> INSERT INTO radusergroup (username,groupname) values ('user2','dinamic-ip-vpn');

должно получится следующее

mysql> select * from radusergroup;

+----------+----------------+----------+
| username |   groupname    | priority |
+----------+----------------+----------+
| user1    | static-ip-vpn  | 1        |
| user2    | dinamic-ip-vpn | 1        |
+----------+----------------+----------+

 

mysql> INSERT INTO radcheck (username,attribute,op,value) values ('user1','User-Password','==','pass1');
mysql> INSERT INTO radcheck (username,attribute,op,value) values ('user2','User-Password','==','pass2');

mysql> select * from radcheck;

+----+----------+---------------+----+-------+
| id | username | attribute     | op | value |
+----+----------+---------------+----+-------+
|  1 | user1    | User-Password | == | pass1 |
|  2 | user2    | User-Password | == | pass2 |
+----+----------+---------------+----+-------+

 

заполняем таблицу radgroupreply

mysql> INSERT INTO radgroupreply (groupname, attribute, op, value) values ('dinamic-ip-vpn','Service-Type',':=','Framed-User');

и так далее, чтоб получить следующее

mysql> select * from radgroupreply;

+----+----------------+--------------------+----+---------------------+
| id | groupname      | attribute          | op | value               |
+----+----------------+--------------------+----+---------------------+
|  1 | dinamic-ip-vpn | Service-Type       | := | Framed-User         |
|  2 | dinamic-ip-vpn | Framed-Protocol    | := | PPP                 |
|  3 | dinamic-ip-vpn | Framed-Compression | := | Van-Jacobsen-TCP-IP |
|  4 | static-ip-vpn  | Framed-Compression | := | Van-Jacobsen-TCP-IP |
|  5 | static-ip-vpn  | Framed-Protocol    | := | PPP                 |
|  6 | static-ip-vpn  | Service-Type       | := | Framed-User         |
+----+----------------+--------------------+----+---------------------+

 

заполняем таблицу radreply чтобы задать постоянный ip для первого клиента user1

mysql> INSERT INTO radreply (username, attribute, op, value) values ('user1','Framed-IP-Netmask',':=','255.255.255.255');
mysql> INSERT INTO radreply (username, attribute, op, value) values ('user1','Framed-IP-Address',':=','192.168.80.90');
mysql> select * from radreply;

+----+----------+-------------------+----+-----------------+
| id | username |     attribute     | op |     value       |
+----+----------+-------------------+----+-----------------+
| 1  | user1    | Framed-IP-Netmask | := | 255.255.255.255 |
| 2  | user1    | Framed-IP-Address | := | 192.168.80.90   |
+----+----------+-------------------+----+-----------------+

 

В итоге, мы занесли в базу данный 2-х клиентов, user1 с паролем pass1 и статическим ip – 192.168.80.90, и user2 с паролем pass2 и получением динамического ip из пула указанного в настройках pptpd. Здесь намеренно пользователи разнесены по группам, с учетом дальшейшего увеличения клиентов, можно было просто создать все атрибуты для обоих клиентов в таблице radreply, но при большом количестве клиентов, удобнее использовать группы, где указываются одинаковые для клиентов группы атрибуты. Так же, в группах можно указывать разные пулы адресов и еще многое другое, но об этом сейчас не будем.

Переходим к настрокам radius. Здесь я приведу примеры файлов, в которых производились изменения:

/etc/raddb/clients.conf
client 127.0.0.1 {
secret = YouRsUpErpAAs
shortname = localhost
nastype = other
}

Третья проблема, на момент отладки, когда еще radius не был подключен к mysql, столкнулись с тем, что если в файле /etc/raddb/users , если клиенты оказывались прописанными не в начале файла, ничего не работало.

/etc/raddb/users
DEFAULT Simultaneous-Use := 1
Fall-Through = 1

Это необходимо прописать, чтоб не было нескольких подключений с одним и тем же логином одновременно

/etc/raddb/radiusd.conf
в секции modules уберем комментарии с

$INCLUDE sql.conf

/etc/raddb/sql.conf
прописываем данные для подключения к mysql

password = "radpass235"

/etc/raddb/sites-enabled/default
в секциях authorize, session, post-auth и accounting включаем sql
в секции authorize включаем mschap

/etc/raddb/modules/mschap
mschap {
use_mppe = yes
require_encryption = yes
require_strong = yes
}

Пожалуй, задача практически решена, остались некоторые штрихи:

Настроить iptables и разрешить форвард, чтоб выпустить клиентов в мир

iptables -I INPUT -p gre -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 192.168.80.0/24 -o eth0 -j ACCEPT
iptables -I FORWARD -d 192.168.80.0/24 -i eth0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.80.0/24 -o eth0 -j MASQUERADE

/etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p

Уже на данной стадии, если мы запустим установленные сервисы, мы сможем подключится к нашей машине по vpn, осталось только перенести пул адресов выдаваемых динамическим клиентам из pptpd в radius. Для этого есть несколько вариантов, вплоть до помещения пула в mysql. Мы используем простой вариант.

/etc/raddb/modules/ippool
в секции ippool main_pool , делаем правки для своего пула адресов

range-start = 192.168.80.35
range-stop = 192.168.80.65

в файле /etc/raddb/sites-enabled/default добавляем с соответствующие секции

accounting {
main_pool
}

post-auth {
main_pool
}

далее, создаем файлы, где пул будет храниться

touch /etc/raddb/db.ipindex /etc/raddb/db.ippool
chmod 664 /etc/raddb/db.ipindex /etc/raddb/db.ippool
chown root:radiusd /etc/raddb/db.ipindex /etc/raddb/db.ippool

и добавляем в /etc/raddb/users

DEFAULT Pool-Name := main_pool
Fall-Through = Yes

перезапускаем radius, и пробуем подключится к машине по vpn, все должно работать. Подробную статистику подключений мы можем увидеть в таблице radius.radacct
выделенные адреса из пула, можно посмотреть командой

rlm_ippool_tool -av /etc/raddbdb/db.ippool /etc/raddbdb/db.ipindex

Можно также одновременно использовать и pptpd и xl2tp. И если мы хотим разделить клиентов, мы можем добавить атрибуты, и в MySQL сделать соответствие группам, на основании этих атрибутов, например:
в /etc/ppp/options.pptpd

avpair Connect-Info=pptp

а в /etc/ppp/options.xl2tpd

avpair Connect-Info=l2tp

Соответственно, при запросе к радиусу эти атрибуты будут посланы. Останется только сделать проверку в radcheck таблице, если для конкретного клиента, или в radgroupcheck, если для группы.

Вот и все.

Удачи в настройках.
© shadow_alone

Оригинал: http://andrey.org/pptpd-mysql-radius/

сертификаты созданы, переходим к настройке OpenVPN

создадим файл /etc/openvpn/server.conf такого содержания:

mode server
dev tun
tls-server
proto udp
port 3335
comp-lzo
persist-tun
persist-key
client-to-client    # разрешаем клиентам видеть друг друга
# указываем узловые точки виртуальной сети
ifconfig 10.1.0.1 10.1.0.2
ifconfig-pool 10.1.0.4 10.1.0.251
route 10.1.0.0 255.255.255.0
#
dh /etc/openvpn/keys/dh1024.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/myserver.crt
key /etc/openvpn/keys/myserver.key
log-append /var/log/openvpn.log
verb 3
# отправляем клиентам необходимые маршруты
push “route 192.168.0.0 255.255.255.0″
push “route 10.1.0.0 255.255.255.0″
#
keepalive 10 60
ping-timer-rem
user  nobody
daemon

перезапускаем сервис /etc/init.d/openvpn restart

переходим к настройке клиента
создадим файл /etc/openvpn/to_server.conf сделующего содержания:

client
dev tun
tls-client
remote адрес_или_имя_сервера
proto udp
port 3335
comp-lzo
persist-tun
persist-key
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/client1.crt
key /etc/openvpn/keys/client1.key
log-append /var/log/openvpn.log
verb 3
user  nobody
daemon

перезапускаем сервис на клиенте /etc/init.d/openvpn restart

смотрим ifconfig и видем:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00

          inet addr:10.1.0.6  P-t-P:10.1.0.5  Mask:255.255.255.255

          ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1

          RX packets:9 errors:0 dropped:0 overruns:0 frame:0

          TX packets:9 errors:0 dropped:0 overruns:0 carrier:0

          коллизии:0 txqueuelen:100

          RX bytes:756 (756.0 B)  TX bytes:756 (756.0 B)

смотрим ip ro и видем новые маршруты:

10.1.0.5 dev tun0  proto kernel  scope link  src 10.1.0.6

192.168.0.0/24 via 10.1.0.5 dev tun0 #маршрут на сеть за сервером

10.1.0.0/24 via 10.1.0.5 dev tun0 #маршрут на сеть клиентов

вот и всё, подключенные клиенты могут видеть друг друга, а также могут видеть сеть за сервером.
Удачной работы!
© shadow_alone

Для примера будем считать что IP на CentOS – 10.10.11.1, а на Debian – 10.10.12.2

И так,
CentOS:
# yum install openvpn
Debian:
# apt-get install openvpn

Далее
CentOS:

сгенерируем KEY
# cd /etc/openvpn
# openvpn –genkey –secret office1.key

создадим файл конфигурации office2.conf такого содержания

dev  tun
ifconfig 192.168.68.1 192.168.68.2
secret  /etc/openvpn/office1.key
port   1194
proto  udp
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user  nobody
daemon
log-append /var/log/openvpn.log
up ./office2_route.up

далее создадим там же файл office2_route.up и пропишем в него следующее:

#!/bin/sh
route add -net 192.168.2.0 netmask 255.255.255.0 gw $5

даём права на выполнение:
# chmod a+x office2_route.up

запускаем /etc/init.d/openvpn start

с настройкой на стороне CentOS мы закончили, петерь переходим к настройкам Debian, предварительно скопировав созданный нами ранее ключь office1.key на машину с Debian.

# cp office1.key /etc/openvpn/
# chmod 600 /etc/openvpn/office1.key
# cd /etc/openvpn/
создадим файл конфигурации office1.conf такого содержания

remote   10.10.11.1
dev  tun
ifconfig 192.168.68.2 192.168.68.1
secret  /etc/openvpn/office1.key
port   1194
proto  udp
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user  nobody
daemon
log-append /var/log/openvpn.log
up ./office1_route.up

далее создадим там же файл office1_route.up и пропишем в него следующее:

#!/bin/sh
route add -net 192.168.1.0 netmask 255.255.255.0 gw $5

даём права на выполнение:
# chmod a+x office1_route.up

запускаем /etc/init.d/openvpn start

теперь можем посмотреть вывод ifconfig на обоих маршрутизаторах:

tun0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.68.2  P-t-P:192.168.68.1  Mask:255.255.255.255
ВВЕРХ POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
коллизии:0 txqueuelen:100
RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

дальше попробуйте пропиговать из одной сети, машину в другой сети, результат должен быть положительный. Если вдруг что-то пошло ни так, смотреть /var/log/openvpn.log с обоих сторон.

Ну вот и всё, задача решена, буквально за 5-10 минут.

Удачи в настройках!

© shadow_alone

Будем делать ipsec по ключу.
Настройки для одной стороны, для второй все идентично.

vim /etc/sysconfig/network-scripts/ifcfg-ipsec0

DST=X.X.X.X
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK

vim /etc/sysconfig/network-scripts/keys-ipsec0

IKE_PSK=VeryPipecKey

chmod 600 /etc/sysconfig/network-scripts/keys-ipsec0

далее, нас интересует:
/etc/racoon/racoon.conf
/etc/racoon/X.X.X.X.conf

vim /etc/racoon/X.X.X.X.conf

remote X.X.X.X
{
exchange_mode aggressive, main;
my_identifier address;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2 ;
}
}

vim /etc/racoon/racoon.conf

path include “/etc/racoon”;
path pre_shared_key “/etc/racoon/psk.txt”;
path certificate “/etc/racoon/certs”;

sainfo anonymous
{
pfs_group 2;
lifetime time 1 hour ;
encryption_algorithm 3des, blowfish 448, rijndael ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}
include “/etc/racoon/X.X.X.X.conf”

На второй стороне делаем тоже самое и
/sbin/ifup ipsec0

теперь можем проверить, скажем, запустим пинг с одного узла на другой и
tcpdump -n -i eth0 host X.X.X.X
должны увидеть в заголовках AH и ESP, если видите, то все в порядке, весь траффик между узлами шифруется.

то есть, если мы теперь поднимем тунель между узлами и настроит рутинг между сетями находящимися за узлами, то весь трафик будет шифроваться.

Теперь посложнее – необходимо объединить две сети по ipsec без поднятия тунеля, или например соединить сеть за Linux с сетью за Cisco ASA(не поддерживает GRE).

vim /etc/sysconfig/network-scripts/ifcfg-ipsec0

DST=X.X.X.X
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
SRCGW=192.168.10.1
DSTGW=192.168.20.1
SRCNET=192.168.10.0/24
DSTNET=192.168.20.0/24

надеюсь пояснения не нужны.
SRCGW – свой внутренний адрес
SRCNET – своя локальная сеть
DSTGW – внутренний адрес удаленного узла
DSTNET – локальная сеть удаленного узла

Удачи в настройках!

© shadow_alone

Собственно, выкладываю куски конфигов:

vpdn enable
!
vpdn-group 1
request-dialin
protocol pptp
rotary-group 0
initiate-to ip адрес_куда_коннектимся
!

interface Dialer0
mtu 1450
ip address negotiated
ip pim dense-mode
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer in-band
dialer idle-timeout 0
dialer string 123
dialer vpdn
dialer-group 1
no keepalive
no cdp enable
ppp pfc local request
ppp pfc remote apply
ppp encrypt mppe auto
ppp chap hostname логин
ppp chap password пароль

Вот, в принципе, и всё.

если надо, то делаем маршрут по умолчанию через это соединение:

ip route 0.0.0.0 0.0.0.0 Dialer0

Удачной всем настройки!

© shadow_alone

добавляем

aaa authentication ppp default local

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1

username test1 privilege 0 password 123456

interface Loopback0
ip address 10.5.5.1 255.255.255.0
ip nat inside

access-list 25 permit 10.5.5.0 0.0.0.255

ip nat inside source list 25 interface Ethernet0/0 overload – интерфейс который смотрит в локалку для доступа во внутреннюю сеть, или который смотрит в инет, для доступа в инет. На этом же интерфейсе – ip nat outside.

ip local pool pptppool 10.5.5.2 10.5.5.10

interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
peer default ip address pool pptppool
no keepalive
ppp encrypt mppe auto
ppp authentication ms-chap-v2

вот, в принципе и все. виндовые клиенты подключаються по дефолту на ура.

© shadow_alone

1. Тунель

Адресация сети выглядит следующим образом.

Внутренняя сеть А: 192.168.1.0/24
Внутренняя сеть Б: 192.168.2.0/24

Внешний интерфейс А: 10.10.11.2/24
Внешний интерфейс Б: 10.10.10.2/24

Необходимо установить туннель между внешними интерфейсами маршрутизаторов, в данном случае 10.10.11.2 и 10.10.10.2.

Минимальные параметры настройки:

• каждый туннель “привязывается” к конкретному физическому интерфейсу, в данном случае это FastEthernet 1/0.
• поскольку это layer 3 соединения, необходима ip адресация. Для уменьшения путаницы с “лишними” адресами будем использовать адреса физических интерфейсов.
• раз есть у туннеля начало, значит еть где-то и конец (Указание второго пира, также обязательный параметр).

Здесь приведена конфигурация только одной стороны туннеля, другая сторона конфигурируется идентично за исключением адреса пира.

! пример конфигурации gre туннеля
RouterA(config)# interface Tunnel10
RouterA(config-if)# tunnel source FastEthernet1/0
RouterA(config-if)# tunnel destination 10.10.10.2
RouterA(config-if)# ip unnumbered FastEthernet1/0

Туннель поднят, но по нему еще ничего не ходит. Сделаем рутинг для сетей 192.168.1.0/24 и 192.168.2.0/24, соответственно в сторону туннеля.

!рутинг в туннель
RouterA(config)# ip route 192.168.2.0 255.255.255.0 Tunnel10

Для рутера Б, нужно завернуть сеть 192.168.1.0/24. Внутренние сети находящиеся за рутерами стали видить друг друга.

!простейшая проверка – ping
RouterA#ping
Protocol [ip]:
Target IP address: 192.168.2.1
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.1.1
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/61/104 ms

Пинг проходит успешно. Можно посмотреть, что внутри туннеля, для этого используется PIX с настроенным capture.

!sniff
pix# show cap anyin
10 packets captured
1: 16:01:56.004577 10.10.11.2 > 10.10.10.2: ip-proto-47, length 104
2: 16:01:56.024870 10.10.10.2 > 10.10.11.2: ip-proto-47, length 104
(skip)
9: 16:01:56.232715 10.10.11.2 > 10.10.10.2: ip-proto-47, length 104
10: 16:01:56.249163 10.10.10.2 > 10.10.11.2: ip-proto-47, length 104
10 packets shown

Туннель работает нормально. Протокол 47 стека IP  есть gre.

2. Шифрование

Нужно изменить crypto acl определяющий какой трафик подлежит шифрованию. Сниффер нам показал только gre пакеты между двумя пирами, шифровать будем их.

!crypto acl, они должны быть зеркальны с обоих сторон
RouterA(config)# access-list 150 permit gre host 10.10.11.2 host 10.10.10.2

isakmp, crypto map и прочее настраиваются совершенно идентично. Приведем кусок конфигурации рутера А.

!пример конфигурации
!
crypto isakmp policy 200
encr aes 256
authentication pre-share
group 2
lifetime 7200
crypto isakmp key sUpeRkEy address 10.10.10.2
!
crypto ipsec transform-set ts-aes-sha esp-aes 256 esp-sha-hmac
!
crypto map cr_outside 10 ipsec-isakmp
set peer 10.10.10.2
set transform-set ts-aes-sha
match address 110
!
interface Tunnel10
ip unnumbered FastEthernet1/0
tunnel source FastEthernet1/0
tunnel destination 10.10.10.2
!
interface FastEthernet1/0
ip address 10.10.11.2 255.255.255.0
crypto map cr_outside
!
ip route 192.168.2.0 255.255.255.0 Tunnel10
!
access-list 110 permit gre host 10.10.11.2 host 10.10.10.2
!

!Тестирование с помощью ping.
pix# show capture anyin
17 packets captured
1: 15:33:57.516788 10.10.11.2.500 > 10.10.10.2.500: udp 144
2: 15:33:57.741477 10.10.10.2.500 > 10.10.11.2.500: udp 104
3: 15:33:57.911284 10.10.11.2.500 > 10.10.10.2.500: udp 304
4: 15:33:58.126153 10.10.10.2.500 > 10.10.11.2.500: udp 304
5: 15:33:58.186025 10.10.11.2.500 > 10.10.10.2.500: udp 108
6: 15:33:58.206059 10.10.10.2.500 > 10.10.11.2.500: udp 76
7: 15:33:58.219852 10.10.11.2.500 > 10.10.10.2.500: udp 172
8: 15:33:58.259401 10.10.10.2.500 > 10.10.11.2.500: udp 172
9: 15:33:58.268388 10.10.11.2.500 > 10.10.10.2.500: udp 60
10: 15:33:59.395807 10.10.11.2 > 10.10.10.2: ip-proto-50, length 164
11: 15:33:59.444541 10.10.10.2 > 10.10.11.2: ip-proto-50, length 164
(skip)
17: 15:33:59.556703 10.10.10.2 > 10.10.11.2: ip-proto-50, length 164
17 packets shown

Конфигурация работает, трафик шифруется.
Первые 9 пакетов – обмен udp пакетами по 500 порту, isakmp при установлении sa. Дальше обмен пакетами протокола 50 стека IP, ipsec.

© shadow_alone