Elektroda.pl
Elektroda.pl
X
Montersi
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

VPN 2x router cisco C881 - konfiguracja VPN

electric00 15 Maj 2018 11:27 249 14
  • #1 15 Maj 2018 11:27
    electric00
    Poziom 12  

    Witam
    Posiadam 2 nowe routery CISCO model C881
    pojawił się temat zestawienia sieci VPN pomiędzy 2 - lokalizacjami tak aby dostępna była sieć wewnętrzna (firmowa)

    w związku z tym jak to zrobić dodam że adresacja sieci LAN to 10.30.40....

    jest w stanie ktoś pomóc jak to ogarnąć

    0 14
  • Montersi
  • Montersi
  • #3 16 Maj 2018 11:41
    electric00
    Poziom 12  

    ...trochę inna koncepcja się pojawiła otóż po jednej i drugiej stronie jest inny operator, każdy daje nam publiczny adres IP, pytanie czy da się te routery zestroić tak aby poprzez nie puścić tunel VPN z wewnętrzną siecią firmową...?

    0
  • #4 16 Maj 2018 11:45
    Szyszkownik Kilkujadek
    Poziom 27  

    Nie odpowiedziałeś na pierwsze pytanie.

    electric00 napisał:
    czy da się te routery zestroić tak aby poprzez nie puścić tunel VPN z wewnętrzną siecią firmową...?
    Tak.

    0
  • #5 16 Maj 2018 11:56
    electric00
    Poziom 12  

    ...okey czyli idąc dalej:

    po stronie firmy (serwerownia) mam publiczny adres IP: 10.10.10.10 (router - R1)
    po stronie biura mam adres publiczny IP: 20.20.20.20 (router - R2)

    1) na wstępie konfiguracja połączenia WLAN zarówno na R1 jak i R2
    2) zestawienie połączenia VPN (tak aby widoczna była sieć wewnętrzna firmy o adresacji 10.30.40...

    chce aby pomiędzy tymi routerami była widoczna podsieć firmowa LAN

    w jaki sposób to zrobić

    0
  • #6 16 Maj 2018 12:47
    m.jastrzebski
    Poziom 35  

    electric00 napisał:
    ...okey czyli idąc dalej:

    po stronie firmy (serwerownia) mam publiczny adres IP: 10.10.10.10 (router - R1)
    po stronie biura mam adres publiczny IP: 20.20.20.20 (router - R2)

    1) na wstępie konfiguracja połączenia WLAN zarówno na R1 jak i R2
    2) zestawienie połączenia VPN (tak aby widoczna była sieć wewnętrzna firmy o adresacji 10.30.40...

    chce aby pomiędzy tymi routerami była widoczna podsieć firmowa LAN

    w jaki sposób to zrobić

    Co do zasady:
    Zestawić połączenie VPN pomiedzy R1 i R2.
    Nauczyć R1, że trasa do sieci LAN (tej za R2) wiedzie poprzez tunel.
    Nauczyć R2, że trasa do sieci LAN (tej za R1) wiedzie poprzez tunel.

    0
  • #8 16 Maj 2018 12:55
    electric00
    Poziom 12  

    tylko terminal

    akceptuje komendy ...do vpn'a

    0
  • #9 16 Maj 2018 13:00
    sanfran
    Poziom 34  

    Ja bym zbudował VPN’a pomiędzy routerami. Może na tunelach jest prościej ale VPN jest to elegantsze rozwiązanie i nie masz kłopotów z enkapsulacją - szczególnie ważne gdy puszczasz głos po VPN i chcesz aby Internet traktował priorytetowo pakiety opatrzone tagiem EF.

    0
  • #10 16 Maj 2018 14:04
    electric00
    Poziom 12  

    okey

    czy na porcie 4 (FE WAN) na R1 - ustawiam publiczny adres IP: 10.10.10.10 na drugim tak samo
    co dalej, po ustawieniu adresacji muszę skonfigurować routing...? jak
    - potem VPN
    - podpięcie pod LAN który port są dostępne x4 (FE LAN - od 0 do 3)
    - aby widoczna była sieć lan

    ...?

    0
  • #11 16 Maj 2018 14:14
    sanfran
    Poziom 34  

    „Learning by doing”.
    Wejdź na strony cisco, zobacz jak się buduje VPN i „follow the procedure”. Mógłbym ci oczywiście napisać konfiguracje ale z poprzednich przypadków wiem, że straciłbym potem kupę czasu na uruchamianie i byłbym potem „1st point of contact” w przypadku problemów.

    0
  • #12 16 Maj 2018 14:34
    electric00
    Poziom 12  

    ...spoko a coś przykładowego masz...

    0
  • #13 16 Maj 2018 14:59
    sanfran
    Poziom 34  

    Tak, ale musisz poczekać do wieczora. Pisze z telefonu i nie mam jak przekopiować konfiguracji z PCeta

    0
  • #14 16 Maj 2018 15:01
    electric00
    Poziom 12  

    oki :)
    dzięki WIELKIE :)

    0
  • #15 17 Maj 2018 09:39
    sanfran
    Poziom 34  

    Oto chodząca konfiguracja.
    Cześć rzeczy jest tam nieaktywna, ale VPN bez tunelu chodzi. Tunel na drugim VPN był tylko dlatego, ze tak chciał klient.

    Code:
    ISNABZR01#more system:runn
    
    ISNABZR01#more system:running-config
    !
    ! Last configuration change at 13:05:28 BST Thu Sep 1 2016 by vsadmin
    ! NVRAM config last updated at 13:05:35 BST Thu Sep 1 2016 by vsadmin
    ! NVRAM config last updated at 13:05:35 BST Thu Sep 1 2016 by vsadmin
    version 15.1
    no service pad
    service timestamps debug datetime msec localtime show-timezone
    service timestamps log datetime msec localtime show-timezone
    service password-encryption
    !
    hostname ISNABZR01
    !
    boot-start-marker
    boot-end-marker
    !
    !
    logging discriminator NATIVE_V severity drops 3 facility drops NATIVE_VLAN mnemonics drops NATIVE_VLAN
    logging buffered discriminator NATIVE_V 100000
    logging console discriminator NATIVE_V
    logging monitor discriminator NATIVE_V
    !
    no aaa new-model
    !
    memory-size iomem 10
    clock timezone GMT 0 0
    clock summer-time BST recurring last Sun Mar 3:00 last Sun Oct 4:00
    crypto pki token default removal timeout 0
    !
    crypto pki trustpoint TP-self-signed-3883781912
    enrollment selfsigned
    subject-name cn=IOS-Self-Signed-Certificate-3883781912
    revocation-check none
    rsakeypair TP-self-signed-3883781912
    !
    !
    crypto pki certificate chain TP-self-signed-3883781912
    certificate self-signed 01
      3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030
      31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
      69666963 6174652D 33383833 37383139 3132301E 170D3135 31303132 31313335
      33305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
      4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 38383337
      38313931 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
      8100BAA7 44715A89 043FE16D E066BCE0 FDB5CE5F 972B0288 117E5416 045B40AE
      AB2C7804 551C1197 8EDBC5F4 20205782 594C9358 74186870 129D116C BF8A7799
      07BF2355 C496513C 6F34A002 0B5803FB 26C55A9E CC1A3D1A F185259B B2596EA0
      FE20549D 5B6BFBF1 709F06D6 816E5C2B A82B8327 F3CB3942 DA51D4A5 39A393DA
      B9F10203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603
      551D2304 18301680 14023AB2 231E3FE2 B56DF7CC AC161F13 35D29CF4 71301D06
      03551D0E 04160414 023AB223 1E3FE2B5 6DF7CCAC 161F1335 D29CF471 300D0609
      2A864886 F70D0101 05050003 818100B6 AD6A5991 2CE60267 B3F6EB34 5AF74522
      90DB39AD 74331D7E 94479613 8B236186 860E5436 2D39C779 21077991 3893F76C
      D5AE9084 20EBDF99 E1704525 5E137D22 3FF37C37 C147187A 2BE8F0D3 DB6333C4
      0D3A58A8 DD903FAB 63EC4B15 C69549BC 6F3EAAA9 D9A10C5D 67B01A3C 5F75A79C




      A9F93A85 FCD2D37D 938000BD C98C79
            quit
    ip source-route
    !
    !
    !
    ip vrf PROSERV
    !
    ip dhcp excluded-address 192.168.16.0 192.168.16.139
    ip dhcp excluded-address 192.168.16.200 192.168.16.254
    ip dhcp excluded-address 172.30.45.250 172.30.45.254
    ip dhcp excluded-address 172.30.45.1 172.30.45.19
    ip dhcp excluded-address 172.20.45.250 172.20.45.254
    ip dhcp excluded-address 172.20.45.1 172.20.45.19
    !
    ip dhcp pool DATA
    network 192.168.16.0 255.255.255.0
    default-router 192.168.16.1
     dns-server 10.240.5.11 10.254.110.13 208.67.222.222
     option 150 ip 192.168.100.254
    !
    ip dhcp pool PS-Phones
    vrf PROSERV
    network 172.30.45.0 255.255.255.0
    option 150 ip 172.30.8.10
     default-router 172.30.45.1
    !
    ip dhcp pool PS-PC
    vrf PROSERV
    network 172.20.45.0 255.255.255.0
    default-router 172.20.45.1
     dns-server 172.20.8.31 172.20.8.32
    !
    !
    ip cef
    ip host uc 192.168.16.65
    ip name-server 208.67.222.222
    ip name-server 208.67.220.220
    no ipv6 cef
    !
    !
    multilink bundle-name authenticated
    license udi pid CISCO887VA-SEC-K9 sn FCZ162891GG
    !
    !
    archive
    log config
      hidekeys
    vtp mode transparent
    username adam privilege 15 secret 5 $1$c2RX$7gc.aP7Nf29tTfc9gHJCu1
    username arrowdawn privilege 15 secret 5 $1$TQcv$2sPvNMjYIJCE1Vcjrsp9R.
    username vsadmin privilege 15 secret 4 weSFB.fapQknWXBHY6IMqnokrIsvNPM1UTPc6CfYM/Y
    username adl-gmc privilege 15 secret 5 $1$K6tJ$WDctZVNZEJaMTurO76TUs.
    username adl-fxs privilege 15 secret 5 $1$kCNm$rtSnXxIIW2bajqVHmHwvQ1
    username adl-njr privilege 15 secret 5 $1$dKRr$A5TGte7CHitFI7cQwop6o1
    username adl-gls privilege 15 secret 5 $1$0j5U$ZvqNOaMcQrXOdjWb65ej71
    username adl-cat privilege 15 secret 5 $1$miB4$x2YSbAiKVLqMJ1ldIwI6n/
    username adl-thb privilege 15 secret 5 $1$4ztH$eHDOYOvxE0kyJYp2r6wLk0
    username adl-gja privilege 15 secret 5 $1$4tAJ$HfseRWefDig42do1IZgLW1
    username isnsupport privilege 15 secret 4 KvcmhqMLoJAEj00B2CHGgMbjKLBGFPXBZQmQ.cfe9oo
    !
    !
    !
    !
    controller VDSL 0
    !
    vlan 20
    name PROSERV-PC
    !
    vlan 30
    name PROSERV-PHONES
    !
    vlan 100
    name VOICE
    !
    vlan 300
    name OUTSIDE
    !
    !
    !
    crypto isakmp policy 10
    encr aes
    hash sha256
    authentication pre-share
    group 5
    !
    crypto isakmp policy 20
    encr aes 256
    authentication pre-share
    group 2
    crypto isakmp key ***jakies-haslo1*** address 195.171.xxx.xxx
    crypto isakmp key ***jakies-haslo2*** address 83.217.xxx.xxx
    crypto isakmp key ***jakies-haslo3*** address 217.207.xxx.xxx
    crypto isakmp keepalive 10
    !
    !
    crypto ipsec transform-set TUNNELPROTECTRANS esp-3des esp-sha-hmac
    crypto ipsec transform-set vpnset esp-aes esp-sha-hmac
    !
    crypto ipsec profile TUNNEL-PROTECT
    description Tunnel to Proserv
    set transform-set TUNNELPROTECTRANS
    !
    !
    crypto map cryptomap_ISN 20 ipsec-isakmp
     set peer 83.217.xxx.xxx
    set transform-set vpnset
     set pfs group2
    match address ISNPRDC_NET
    crypto map cryptomap_ISN 30 ipsec-isakmp
     set peer 217.207.xxx.xxx
    set transform-set vpnset
     set pfs group2
    match address ISNHOUSE_NET
    !
    !
    !
    !
    !
    interface Tunnel10
    description *** VI to Proserv O&G ***
    ip vrf forwarding PROSERV
    ip address 172.20.251.38 255.255.255.252
    tunnel source 89.104.xxx.xxx
    tunnel mode ipsec ipv4
    tunnel destination 195.171.xxx.xxx
    tunnel protection ipsec profile TUNNEL-PROTECT
    !
    interface Tunnel20
    no ip address
    !       
    interface Ethernet0
    no ip address
    shutdown
    !
    interface ATM0
    no ip address
    no atm ilmi-keepalive
    pvc 0/38
      encapsulation aal5mux ppp dialer
      dialer pool-member 1
    !
    !
    interface FastEthernet0
    switchport trunk allowed vlan 1,100,1002-1005
    switchport mode trunk
    no ip address
    !
    interface FastEthernet1
    description SWITCH
    switchport mode trunk
    no ip address
    !
    interface FastEthernet2
    switchport access vlan 300
    no ip address
    !
    interface FastEthernet3
    switchport access vlan 300
    no ip address
    !
    interface Vlan1
    ip address 192.168.16.1 255.255.255.0
    ip nat inside
    ip virtual-reassembly in
    !
    interface Vlan20
    description PROSERV-PC
    ip vrf forwarding PROSERV
    ip address 172.20.45.1 255.255.255.0
    !
    interface Vlan30
    ip vrf forwarding PROSERV
    ip address 172.30.45.1 255.255.255.0
    !
    interface Vlan300
    ip address 89.104.xxx.xxx 255.255.255.240
    ip nat outside
    ip virtual-reassembly in
    crypto map cryptomap_ISN
    !
    interface Dialer0
    description ###
     no ip address
    ip nat outside
    ip virtual-reassembly in
    encapsulation ppp
    no ip route-cache
    shutdown
    dialer pool 1
    dialer-group 1
    ppp authentication chap pap callin
    ppp chap hostname **jakis-username***
    ppp chap password 7 **jekies-haslo***
    ppp pap sent-username ***jakis-username*** password ***jekies-haslo***
    !
    ip forward-protocol nd
    no ip http server
    no ip http secure-server
    !
    !
    ip nat inside source route-map NoNAT_RouteMap interface Vlan300 overload
    ip nat inside source static tcp 192.168.16.36 80 89.104.xxx.xxx 80 extendable
    ip nat inside source static 192.168.16.8 89.104.xxx.xxx extendable
    ip nat inside source static tcp 192.168.16.34 80 89.104.xxx.xxx  80 extendable
    ip nat inside source static tcp 192.168.16.34 443 89.104.xxx.xxx  443 extendable
    ip nat inside source static tcp 192.168.16.4 80 89.104.xxx.xxx  80 extendable
    ip nat inside source static tcp 192.168.16.4 443 89.104.xxx.xxx  443 extendable
    ip nat inside source static tcp 192.168.16.35 80 89.104.xxx.xxx  80 extendable
    ip nat inside source static tcp 192.168.16.35 443 89.104.xxx.xxx  443 extendable
    ip nat inside source static 192.168.16.54 89.104.xxx.xxx  extendable
    ip nat inside source static 192.168.16.8 89.104.xxx.xxx  extendable
    ip route 0.0.0.0 0.0.0.0 89.104.xxx.xxx
    ip route 192.168.100.0 255.255.255.0 192.168.16.65 name VOICE
    ip route vrf PROSERV 0.0.0.0 0.0.0.0 172.20.251.37
    !
    ip access-list extended FIREWALL_IN
    permit ip any any
    remark ### PINGS ###
    permit icmp any any echo-reply
    permit icmp any any echo
    permit icmp any any port-unreachable
    permit udp host 17.171.4.12 eq ntp host 89.104.xxx.xxx
    permit udp host 17.171.4.13 eq ntp host 89.104.xxx.xxx
    permit udp host 17.171.4.14 eq ntp host 89.104.xxx.xxx
    permit udp host 134.226.81.3 any eq ntp
    remark ### DNS IN ###
    permit udp any eq domain any
    remark ### ESTABLISHED TCP ###
    permit tcp any any established
    remark ## FROM ARROWDAWN ###
    permit ip 82.68.xxx.xxx 0.0.0.7 any
    permit ip host 62.49.xxx.xxx any
    permit udp any any eq ntp
    remark ## Virtual Stream Access ###
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq smtp
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq smtp
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq 444
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq smtp
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq www
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq 5061
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq www
    permit udp any host 89.104.xxx.xxx eq 5061
    permit tcp any host 89.104.xxx.xxx eq 443
    permit tcp any host 89.104.xxx.xxx eq 8443
    deny   ip any any log
    ip access-list extended FIRWALL_IN
    ip access-list extended ISNHOUSE_NET
    permit ip 192.168.16.0 0.0.0.255 10.254.0.0 0.0.255.255
    permit ip 192.168.100.0 0.0.0.255 10.254.0.0 0.0.255.255
    ip access-list extended ISNPRDC_NET
    permit ip 192.168.16.0 0.0.0.255 10.240.0.0 0.0.255.255
    ip access-list extended NoNAT_VPN_Traffic
    deny   ip 192.168.16.0 0.0.0.255 10.240.0.0 0.0.255.255
    deny   ip 192.168.16.0 0.0.0.255 10.254.0.0 0.0.255.255
    permit ip 192.168.16.0 0.0.0.255 any
    !
    access-list 2 permit 62.49.62.44
    access-list 2 permit 80.229.20.243
    access-list 2 permit 86.188.149.128 0.0.0.15
    access-list 2 permit 192.168.0.0 0.0.255.255
    access-list 2 permit 82.68.80.152 0.0.0.7
    access-list 2 permit 92.27.137.48 0.0.0.15
    access-list 2 permit 217.207.177.0 0.0.0.31
    access-list 2 permit 10.254.0.0 0.0.255.255
    access-list 111 permit icmp any any
    access-list dynamic-extended
    dialer-list 1 protocol ip permit
    !
    !
    !
    !
    route-map NoNAT_RouteMap permit 10
    match ip address NoNAT_VPN_Traffic
    !
    snmp-server community ISN!snmp RO
    !
    control-plane
    !
    alias exec dsl sho controllers vdSL 0
    banner motd ^CCCCC
    **WARNING**WARNING**WARNING**WARNING**WARNING**WARNING**WARNING**
     
    This is a private computer system for the use of authorised users.
    Individuals using this computer system without authority, or in excess
    of their authority, are subject to having all of their activities on
    this system monitored and recorded by system personnel. In the course
    of monitoring individuals improperly using this system, or in the course
    of system maintenance the activities of authorised users may also be
    monitored. Anyone using this system expressly consents to such monitoring
    and is advised that if such monitoring reveals possible evidence of
    criminal activity, system personnel may provide the evidence of such
    monitoring to law enforcement officials.
     
    **WARNING**WARNING**WARNING**WARNING**WARNING**WARNING**WARNING**
    ^C
    !
    line con 0
    login local
    line aux 0
    line vty 0 4
    access-class 2 in
    password jakieshaslo
    login local
    transport input all
    !
    scheduler max-task-time 5000
    ntp source Vlan1
    ntp master 1
    ntp server 192.168.16.1
    ntp server 1.uk.pool.ntp.org
    ntp server 134.226.81.3
    ntp server 0.uk.pool.ntp.org
    ntp server 3.uk.pool.ntp.org
    ntp server 4.uk.pool.ntp.org
    end

    0