思科 877 作為 VPN 伺服器?
我有一個 Cisco 877 路由器,它使用 ADSL 線路、單個公共 IP 地址和 NAT 將我的網路連接到 Internet;IOS版本是15。
一切正常,但我想將此路由器配置為 VPN 伺服器,以便能夠從外部連接到網路。
我試過尋找文件,但我能找到的一切都與讓 877 充當 VPN客戶端或站點到站點 VPN 相關;我找不到任何關於讓單個遠端電腦訪問內部網路的資訊,而使用 Windows 的 RRAS 或 ISA Server 可以很容易地做到這一點。
- Cisco 877 能否充當遠端客戶端電腦的 VPN 伺服器?(看起來應該,但只是為了確定……)
- 它支持哪種類型的 VPN?它們是否需要客戶端電腦上的一些特殊軟體,或者它們是否可以被標準的開箱即用 Windows 電腦使用?
- 最後:如何設置?
編輯:
我知道 877 是 SOHO 路由器,它不是 VPN 伺服器的最佳選擇;但這是我的家庭網路,我只有一台電腦(目前),而且我是唯一的使用者。我絕對不會為了在工作時能夠連接到我的電腦而購買企業級路由器:-p
編輯2:
我真的堅持這一點,經過多次測試,我永遠無法讓它工作。我正在為這個問題添加一個賞金,這將被授予一個完全有效的解決方案(而不是一些指向神秘的思科文件或不相關場景的指針)。
為了讓人們提供幫助,這是我目前的路由器配置(去掉了不相關和私人的細節)。讓我們希望有人最終可以幫助我完成這項工作。
要點:
- 四個乙太網介面都分配給 VLAN 1。
- 內部網路是192.168.42.0/24,路由器的IP地址是192.168.42.1。
- 外部 IP 地址由 ISP 提供;這是一個公共的和靜態的,完全可路由的。
- NAT(當然)已啟用。
- ADSL 連接正常。
- 路由器是內部網路的 DNS 伺服器,將查詢轉發到 ISP 的 DNS。
- 網路中沒有 DHCP 伺服器。
- 有一個權限級別為 15 的使用者帳戶。
我想要的是:
- 路由器充當 VPN 伺服器,使外部客戶端能夠訪問內部網路。
- L2TP 將是首選,但即使是 PPTP 也可以。
- 如果可能的話,我希望它可以與 Windows 的內置 VPN 客戶端(支持 PPTP 和 L2TP)一起使用;我不想在外部電腦上安裝 Cisco VPN 客戶端或類似的東西,以便它們能夠連接。
這是配置:
version 15.0 service password-encryption hostname Cisco877 aaa new-model aaa authentication login default local aaa authorization console aaa authorization exec default local aaa session-id common ip source-route ip cef ip domain name <my ISP's DNS name> ip name-server <my ISP's DNS server> no ipv6 cef password encryption aes username <Router's username> privilege 15 secret 5 <The encrypted password for my user account> ip ssh version 2 interface ATM0 no ip address no atm ilmi-keepalive interface ATM0.1 point-to-point pvc 8/75 encapsulation aal5mux ppp dialer dialer pool-member 1 interface FastEthernet0 spanning-tree portfast interface FastEthernet1 spanning-tree portfast interface FastEthernet2 spanning-tree portfast interface FastEthernet3 spanning-tree portfast interface Vlan1 ip address 192.168.42.1 255.255.255.0 ip nat inside ip virtual-reassembly interface Dialer0 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication pap callin ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password> ip forward-protocol nd ip dns server ip nat inside source list 1 interface Dialer0 overload ip route 0.0.0.0 0.0.0.0 Dialer0 access-list 1 permit 192.168.42.0 0.0.0.255 dialer-list 1 protocol ip permit
所以根據思科的網站,是的,你可以讓你的 877 成為伺服器。但我強烈建議不要這樣做。我設置了一個將 871 路由器連接到頭端 2800 路由器的 VPN 解決方案,但遇到了各種問題。低端設備無法處理大量的同時 VPN 連接。我的建議是購買帶有 VPN 模組的 2800 或 3800 系列路由器。硬體模組將允許更多連接,但也會更好地處理連接。
你想如何設置它以及將你的頭端放在哪裡取決於你,但我認為像你今天的 877 那樣將頭端放在網路外部可能是最簡單的。在下面的連結中,您會找到很多方法來做到這一點,但最簡單的是使用像現在這樣的前端,但硬體更強大。
取出這些連結的空格,然後在第二個連結中搜尋“Easy VPN”。
http://www.cisco.com/en/US/products/sw/secursw/ps5299/
http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf
這是我的嘗試,沒有像這樣的路由器進行實際測試。將以下內容添加到您的配置中:
vpdn enable vpdn-group 1 accept-dialin protocol pptp virtual-template 1 exit ip local pool clients 192.168.200.1 192.168.200.127 interface virtual-template 1 encap ppp peer default ip address pool clients ip unnumbered vlan1 no keepalive ppp encrypt mppe auto required ppp authentication ms-chap aaa authentication ppp default local
這應該啟用 VPN 撥號 (VPDN),創建一個 VPDN 組以接受傳入的 PPTP,創建一個分配給客戶端的 IP 池,創建一個分配給客戶端的虛擬模板介面,並為 PPP 使用者打開本地身份驗證。將需要 MS-CHAP 和 MPPE 加密(我相信無論如何在 Windows 中都是預設設置)。
我很想看看我是否在第一次嘗試時就做對了……或者,事實上,完全沒有。