5 votos

Cisco 877 como un servidor VPN?

Tengo un enrutador Cisco 877 que conecta mi red a Internet mediante una línea ADSL, una única dirección IP pública y NAT; la versión IOS es la 15.

Todo funciona bien, pero me gustaría configurar este router para que sea un servidor VPN, para poder conectarme a la red desde el exterior.

He tratado de buscar documentación, pero todo lo que puedo encontrar está relacionado con que el 877 actúe como una VPN cliente o a VPNs de sitio a sitio; no encuentro nada acerca de permitir que ordenadores remotos individuales accedan a la red interna, lo cual es algo que puedo hacer fácilmente usando el RRAS o el ISA Server de Windows.

  • ¿Puede el Cisco 877 actuar como un servidor VPN para computadoras clientes remotas? (Parece que sí, pero para estar seguros...)
  • ¿Qué tipo de VPNs soporta? ¿Requieren algún software especial en las máquinas cliente, o pueden ser usadas por computadoras estándar de Windows listas para usar?
  • Y, por último: ¿cómo se establece esto?

Editar:

Sé que el 877 es un enrutador SOHO, y no es la mejor opción como servidor VPN; pero esta es mi red doméstica, sólo tengo un ordenador (por ahora) y soy el único usuario. Definitivamente soy no voy a comprar un router de grado empresarial sólo para poder llegar a mi PC cuando estoy en el trabajo :-p


Edición 2:

Estoy realmente atascado con esto, después de muchas pruebas nunca fui capaz de hacerlo funcionar. Estoy agregando una recompensa a la pregunta, que será otorgada a una solución completamente funcional (no a algún puntero a la críptica documentación de Cisco o a escenarios no relacionados).

Para permitir que la gente ayude, aquí está la configuración actual de mi router (despojada de los detalles no relevantes y privados). Esperemos que alguien finalmente pueda ayudarme a hacer que esto funcione.

Puntos principales:

  • Las cuatro interfaces Ethernet están todas asignadas a la VLAN 1.
  • La red interna es 192.168.42.0/24, la dirección IP del enrutador es 192.168.42.1.
  • La dirección IP externa es suministrada por el ISP; es una pública y estática, totalmente enrutable.
  • La NAT está (por supuesto) activada.
  • La conexión ADSL funciona bien.
  • El enrutador es el servidor DNS de la red interna, reenvía las consultas al DNS del ISP.
  • No hay ningún servidor DHCP en la red.
  • Hay una cuenta de usuario único con nivel de privilegio 15.

Lo que quiero:

  • El enrutador actúa como un servidor VPN, permitiendo a los clientes externos acceder a la red interna.
  • Se preferiría el L2TP, pero incluso el PPTP estaría bien.
  • Si es posible, quiero que esto funcione con el cliente VPN incorporado de Windows (que soporta PPTP y L2TP); no quiero instalar el cliente VPN de Cisco ni nada parecido en ordenadores externos para que puedan conectarse.

Aquí está la configuración:

version 15.0

service password-encryption

hostname Cisco877

aaa new-model

aaa authentication login default local
aaa authorization console
aaa authorization exec default local

aaa session-id common

ip source-route
ip cef
ip domain name <my ISP's DNS name>
ip name-server <my ISP's DNS server>
no ipv6 cef

password encryption aes

username <Router's username> privilege 15 secret 5 <The encrypted password for my user account>

ip ssh version 2

interface ATM0
 no ip address
 no atm ilmi-keepalive

interface ATM0.1 point-to-point
 pvc 8/75
  encapsulation aal5mux ppp dialer
  dialer pool-member 1

interface FastEthernet0
 spanning-tree portfast

interface FastEthernet1
 spanning-tree portfast

interface FastEthernet2
 spanning-tree portfast

interface FastEthernet3
 spanning-tree portfast

interface Vlan1
 ip address 192.168.42.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface Dialer0
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username <My ISP's username> password 7 <The encrypted ISP password>

ip forward-protocol nd

ip dns server

ip nat inside source list 1 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0

access-list 1 permit 192.168.42.0 0.0.0.255

dialer-list 1 protocol ip permit

2voto

Phil H Puntos 10133

Así que de acuerdo con el sitio web de Cisco, sí puedes hacer que tu 877 sea un servidor. Pero yo recomendaría que no lo sea. Configuré una solución VPN con los 871 enrutadores conectados a un enrutador 2800 de la cabecera y tuve todo tipo de problemas. Los dispositivos de gama baja no están hechos para manejar muchas conexiones VPN simultáneas. Mi recomendación sería comprar un enrutador de la serie 2800 o 3800 con un módulo VPN. El módulo de hardware permitirá más conexiones, pero también manejará las conexiones mucho mejor.

Cómo quieres montarlo todo y dónde poner la cabeza depende de ti, pero creo que tener la cabeza en el exterior de tu red, tal como lo hace tu 877 hoy, es probablemente lo más fácil. En los siguientes enlaces encontrarás muchas maneras de hacerlo, pero la más fácil es usar una cabecera como la que tienes ahora, pero con un hardware más robusto.

Saca los espacios para esos enlaces y busca en el segundo "Easy VPN".

http://www.cisco.com/en/US/products/sw/secursw/ps5299/

http://www.cisco.com/en/US/docs/routers/access/800/850/software/configuration/guide/857sg_bk.pdf

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/prod_white_paper0900aecd803645b5.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_rem.html

http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_easy_vpn_srvr.html

1voto

Evan Anderson Puntos 118832

Este es mi intento sin tener un router como este para probarlo. Añade lo siguiente a tu configuración:

vpdn enable
vpdn-group 1
accept-dialin
protocol pptp
virtual-template 1
exit
ip local pool clients 192.168.200.1 192.168.200.127
interface virtual-template 1
encap ppp
peer default ip address pool clients
ip unnumbered vlan1
no keepalive
ppp encrypt mppe auto required
ppp authentication ms-chap
aaa authentication ppp default local

Esto debería permitir la marcación de VPN (VPDN), crear un grupo VPDN para aceptar PPTP entrante, crear un grupo de IP para asignar a los clientes, crear una interfaz de plantilla virtual para ser asignada a los clientes, y activar la autenticación local para los usuarios PPP. Será necesario el cifrado MS-CHAP y MPPE (por defecto en Windows de todos modos, creo).

Estoy ansioso por ver si lo hago bien al primer intento... o, de hecho, en absoluto.

1voto

yulia Puntos 16

Finalmente fui capaz de hacerlo funcionar usando el gran apoyo de Evan y esta página .

Estoy publicando la configuración completa aquí y acepto esta respuesta para dejarla como referencia, pero por supuesto la recompensa será para Evan :-)

Esto es lo que hay que añadir a la configuración del router para habilitar el acceso PPTP y L2TP dial-in VPN:

aaa authentication ppp default local

vpdn enable
vpdn-group VPN_Clients
 accept-dialin
  protocol any
  virtual-template 1
 no l2tp tunnel authentication

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key <IPSEC PRE-SHARED-KEY> address 0.0.0.0 0.0.0.0
crypto ipsec transform-set VPN_TS esp-3des esp-sha-hmac
 mode transport
crypto dynamic-map VPN_DYN_MAP 1
 set nat demux
 set transform-set VPN_TS
crypto map VPN_MAP 1 ipsec-isakmp dynamic VPN_DYN_MAP

interface Dialer0
 crypto map VPN_MAP

ip local pool VPN_POOL 192.168.42.240 192.168.42.249

interface Virtual-Template1
 ip unnumbered Vlan1
 ip nat inside
 peer default ip address pool VPN_POOL
 no keepalive
 ppp encrypt mppe auto required
 ppp authentication ms-chap-v2 ms-chap chap

Nota 1 Para autentificar a los usuarios de VPN, tendrás que establecer sus contraseñas con el comando username <user> password <password> en lugar de la más segura username <user> secret <password> de lo contrario la autentificación fallará porque las contraseñas encriptadas en MD5 no son compatibles con el CHAP; esto está documentado aquí .

Nota 2 : Esta configuración asigna a los clientes de la VPN las direcciones IP que forman parte de la red interna; este es el enfoque más fácil, ya que utilizar una subred diferente requeriría suministrar a los clientes una ruta estática a la LAN. De hecho, sería más seguro, pero para un simple acceso a una red interna simplemente no vale la pena.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: