Verwenden Sie einen Cisco-Router als L2TP-Client?

7

Ich habe einen Kunden, der aus verschiedenen Gründen einen Cisco-Router hinter einer NATed ADSL-Verbindung hat. Sie möchten ein VPN zu einem unserer Präsenzpunkte erstellen. Die einzigen Optionen, die wir anbieten, sind Site-to-Site- oder L2TP-Einwahl.

Ist es möglich, Cisco (3925) für die Verbindung über L2TP mit unserem PoP zu konfigurieren? Der L2TP-Server besteht aus zwei Fortigate 100Ds. Die Konfiguration ermöglicht es iPads, Laptops usw., sich problemlos einzuwählen, geschützt durch IPSEC.

Ich teste dies in meinem Büro mit einem 1921, die wenigen Referenzen, die ich gefunden habe, weisen darauf hin, dass die Verwendung eines Pseudodraht-Setups erforderlich ist, aber ich habe Probleme damit, das aufzubauen und wo IPSEC hineinpasst.

cisco  vpn  cisco-ios  ipsec 
atp
quelle

Antworten:

8

Sicher ist es durchaus möglich. Grundsätzlich müssen Sie eine Krypto-Map einrichten, um den L2TP-Verkehr abzufangen und zu verschlüsseln. Die Konfiguration psuedowire \ L2TP kann an eine Virtual-PPP-Schnittstelle angeschlossen werden. Hier ist ein Konfigurations-Snippet, das Sie zum Laufen bringen soll.

! Basic ISAKMP\IPSec configuration, tweak as needed. 
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 4000
!
crypto isakmp key *preshared key* address 1.2.3.4
!
crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
 mode transport
!
! Crypto map that will catch our L2TP Traffic defined in the L2TP_TRAFFIC ACL.
!
crypto map L2TP_VPN 10 ipsec-isakmp
 set peer 1.2.3.4
 set transform-set ESP-AES256-SHA1
 match address L2TP_TRAFFIC
!
! Match the L2TP traffic.
!
ip access-list extended L2TP_TRAFFIC
 permit udp host *Outbound IP* eq 1701 host 1.2.3.4 eq 1701
!
! Apply the crypto map to the outbound\internet facing interface. 
!
interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 crypto map L2TP_VPN
!
! Define the psuedowire class that will speak L2TP and the source interface. 
!
pseudowire-class L2TP_PW
 encapsulation l2tpv2
 ip local interface FastEthernet0/0
!
! Create Virtual-PPP interface to bind the psuedowire class to. 
!
interface Virtual-PPP1
 description L2TP Tunnel
 ip address negotiated
 ppp chap hostname *User Name*
 ppp chap password *Password*
 ppp ipcp address accept
 pseudowire 1.2.3.4 1 pw-class L2TP_PW

Sie müssen auch relevantes NAT und / oder Routing für Ihr Szenario hinzufügen.

Josh Sawyers
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.