Vpn

思科 877 作為 VPN 伺服器?

  • July 3, 2011

我有一個 Cisco 877 路由器,它使用 ADSL 線路、單個公共 IP 地址和 NAT 將我的網路連接到 Internet;IOS版本是15。

一切正常,但我想將此路由器配置為 VPN 伺服器,以便能夠從外部連接到網路。

我試過尋找文件,但我能找到的一切都與讓 877 充當 VPN客戶端或站點到站點 VPN 相關;我找不到任何關於讓單個遠端電腦訪問內部網路的資訊,而使用 Windows 的 RRAS 或 ISA Server 可以很容易地做到這一點。

  • Cisco 877 能否充當遠端客戶端電腦的 VPN 伺服器?(看起來應該,但只是為了確定……)
  • 它支持哪種類型的 VPN?它們是否需要客戶端電腦上的一些特殊軟體,或者它們是否可以被標準的開箱即用 Windows 電腦使用?
  • 最後:如何設置?

編輯:

我知道 877 是 SOHO 路由器,它不是 VPN 伺服器的最佳選擇;但這是我的家庭網路,我只有一台電腦(目前),而且我是唯一的使用者。我絕對不會為了在工作時能夠連接到我的電腦而購買企業級路由器:-p


編輯2:

我真的堅持這一點,經過多次測試,我永遠無法讓它工作。我正在為這個問題添加一個賞金,這將被授予一個完全有效的解決方案(而不是一些指向神秘的思科文件或不相關場景的指針)。

為了讓人們提供幫助,這是我目前的路由器配置(去掉了不相關和私人的細節)。讓我們希望有人最終可以幫助我完成這項工作。

要點:

  • 四個乙太網介面都分配給 VLAN 1。
  • 內部網路是192.168.42.0/24,路由器的IP地址是192.168.42.1。
  • 外部 IP 地址由 ISP 提供;這是一個公共的和靜態的,完全可路由的。
  • NAT(當然)已啟用。
  • ADSL 連接正常。
  • 路由器是內部網路的 DNS 伺服器,將查詢轉發到 ISP 的 DNS。
  • 網路中沒有 DHCP 伺服器。
  • 有一個權限級別為 15 的使用者帳戶。

我想要的是:

  • 路由器充當 VPN 伺服器,使外部客戶端能夠訪問內部網路。
  • L2TP 將是首選,但即使是 PPTP 也可以。
  • 如果可能的話,我希望它可以與 Windows 的內置 VPN 客戶端(支持 PPTP 和 L2TP)一起使用;我不想在外部電腦上安裝 Cisco VPN 客戶端或類似的東西,以便它們能夠連接。

這是配置:

version 15.0

service password-encryption

hostname Cisco877

aaa new-model

aaa authentication login default local
aaa authorization console
aaa authorization exec default local

aaa session-id common

ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef

password encryption aes

username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>

ip ssh version 2

interface ATM0
no ip address
no atm ilmi-keepalive

interface ATM0.1 point-to-point
pvc 8/75
 encapsulation aal5mux ppp dialer
 dialer pool-member 1

interface FastEthernet0
spanning-tree portfast

interface FastEthernet1
spanning-tree portfast

interface FastEthernet2
spanning-tree portfast

interface FastEthernet3
spanning-tree portfast

interface Vlan1
ip address 192.168.42.1 255.255.255.0
ip nat inside
ip virtual-reassembly

interface Dialer0
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication pap callin
ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>

ip forward-protocol nd

ip dns server

ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0

access-list 1 permit 192.168.42.0 0.0.0.255

dialer-list 1 protocol ip permit

所以根據思科的網站,是的,你可以讓你的 877 成為伺服器。但我強烈建議不要這樣做。我設置了一個將 871 路由器連接到頭端 2800 路由器的 VPN 解決方案,但遇到了各種問題。低端設備無法處理大量的同時 VPN 連接。我的建議是購買帶有 VPN 模組的 2800 或 3800 系列路由器。硬體模組將允許更多連接,但也會更好地處理連接。

你想如何設置它以及將你的頭端放在哪裡取決於你,但我認為像你今天的 877 那樣將頭端放在網路外部可能是最簡單的。在下面的連結中,您會找到很多方法來做到這一點,但最簡單的是使用像現在這樣的前端,但硬體更強大。

取出這些連結的空格,然後在第二個連結中搜尋“Easy VPN”。

http://www.cisco.com/en/US/products/sw/secursw/ps5299/

http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/prod_white_paper0900aecd803645b5.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_rem.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_srvr.html

這是我的嘗試,沒有像這樣的路由器進行實際測試。將以下內容添加到您的配置中:

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local

這應該啟用 VPN 撥號 (VPDN),創建一個 VPDN 組以接受傳入的 PPTP,創建一個分配給客戶端的 IP 池,創建一個分配給客戶端的虛擬模板介面,並為 PPP 使用者打開本地身份驗證。將需要 MS-CHAP 和 MPPE 加密(我相信無論如何在 Windows 中都是預設設置)。

我很想看看我是否在第一次嘗試時就做對了……或者,事實上,完全沒有。

引用自:https://serverfault.com/questions/130550