L2TP на маршрутизаторах Cisco
Технология L2TP на маршрутизаторах Cisco обычно используется в тех случаях, когда необходимо организовать защищенный удаленный доступ для работников компании,
Преимущества технологии
- Не требуются дополнительные лицензии для оборудования. Максимальное количество одновременных подключений пользователей ограничено возможностями самого оборудования.
- Настройка подключения на стороне пользователя производится во встроенном клиенте в любой операционной системе, будь то Windows, Mac или Linux. Не нужно устанавливать дополнительное программное обеспечение.
Настройка L2TP на Cisco router позволяет сэкономить организациям с точки зрения цены решения, но, при этом, имеет больше ограничений, чем настройка других типов подключений, например Cisco anyconnect.
В качестве примера для настройки L2TP будет выступать маршрутизатор Cisco 2911. Его предварительная настройка была осуществлена в соответствии со статьей “Начальная настройка маршрутизатора Cisco. Доступ в Интернет”, а именно:
- На внешнем интерфейсе задан ip адрес 200.150.100.2 /30
- На внутреннем интерфейсе задан ip адрес 192.168.0.1 /24
- Задан шлюз по умолчанию на адрес провайдера и есть доступ в интернет.
Шаг 1. Диапазон адресов для удаленных пользователей
Необходимо задать диапазон адресов, который будет присваиваться удаленным L2TP клиентам. Для этих целей лучше всего подходят настройки DHCP пула, в котором можно указать не только сами адреса, но и доменное имя, DNS серверы и иные параметры при необходимости.
В нашем примере это будет сеть 192.168.100.0 /24, при этом первые 10 адресов будут исключены из выдачи. Сохраним эти адреса в резерве для технологических целей в запасе.
R-DELTACONFIG(config)#
ip dhcp excluded-address 192.168.100.1 192.168.100.10
ip dhcp pool POOL_L2TP_USERS
ip default-gateway 192.168.100.1
network 192.168.100.0 255.255.255.0
domain-name deltaconfig.local
dns-server 192.168.1.10
192.168.1.10 — внутренний DNS сервер компании
deltaconfig.local — домен в MS Active Directory
Внимание!
Практика показывает, что некоторые устройства на MacOS не получают корректные настройки DNS серверов, указанных в DHCP pool. Если вы столкнетесь с такой проблемой, то попробуйте указать внутренние DNS серверы дополнительно таким образом.
ip name-server 192.168.1.10
Где 192.168.1.10 — адрес внутреннего DNS сервера компании
Шаг 2. Создание виртуальных интерфейсов
Необходимо создать 2 виртуальных интерфейса:
Loopback 1 интерфейс, который будет использоваться как виртуальный шлюз для удаленных рабочих станций.
Virtual-Template1 — виртуальный шаблон для подключения удаленных L2TP клиентов к маршрутизатору Cisco. Здесь указываются ссылки на заданные ранее параметры: виртуальный интерфейс loopback 1, диапазон адресов для удаленных пользователей, а также указываются допустимые протоколы проверки подлинности соединения (MS CHAP и MS CHAP2)
R-DELTACONFIG(config)#
interface Loopback1
description --- l2tp vpn endpoint ---
ip address 192.168.100.1 255.255.255.0
interface Virtual-Template 1
ip unnumbered Loopback1
peer default ip address dhcp-pool POOL_REMOTE+L2TP_USERS
ppp encrypt mppe auto
ppp authentication ms-chap ms-chap-v2
Шаг 3. Настройка параметров шифрования
Для защиты передаваемых данных необходимо указать набор параметров шифрования, а также задать общий ключ шифрования. Ключ будет единым для всех удаленных пользователей. Этого не стоит опасаться с точки зрения безопасности, так как дополнительно к нему каждый пользователь будет авторизовываться по отдельному логину и паролю.
Вы можете использовать и иные параметры, в том числе те, которые уже заданы у вас на устройстве для существующих VPN подключений.
Параметры шифрования
R-DELTACONFIG(config)#
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
mode transport
Общий ключ
crypto isakmp key значение_ключа address 0.0.0.0 no-xauth
Политика шифрования
R-DELTACONFIG(config)#
crypto dynamic-map CRYPTO_MAP_REMOTE_USERS 10
set nat demux
set transform-set ESP-3DES-SHA
crypto map CRYPTO_MAP 100 ipsec-isakmp dynamic CRYPTO_MAP_REMOTE_USERS
Привязка политики шифрования ко внешнему интерфейсу
R-DELTACONFIG(config)#
interface GigabitEthernet0/0
description --- Link to Internet---
ip address 200.150.100.2 255.255.255.252
duplex auto
speed auto
crypto map CRYPTO_MAP
Внимание!
Если на вашем оборудовании уже настроены другие типы VPN подключений, то политика шифрования уже может быть настроена и привязана ко внешнему интерфейсу. В этом случае необходимо динамическую политику CRYPTO_MAP_REMOTE_USERS привязать к имеющейся crypto map под следующим свободным номером.
Шаг 4. Авторизация пользователей
Возможны различные варианты авторизации пользователей. Если удаленный доступ необходим всего нескольким людям, то учетные записи могут храниться на самом маршрутизаторе в его локальной базе.
Если необходимо подключать большое количество пользователей и у компании есть собственный сервер MS Active Directory, то функция авторизации может быть выведена на этот внешний RADIUS сервер.
Настройки для локальной авторизации
R-DELTACONFIG(config)#
aaa new-model
aaa authentication ppp default local
aaa authorization network default local
После этого дополнительно необходимо создать учетную запись для каждого пользователя
R-DELTACONFIG(config)#
username l2tp_fred password superstrongpassword
username l2tp_duke password verystrongpassword
Настройки для авторизации через RADIUS сервер (MS Active Directory)
Необходимо указать, что авторизация должна проходить через RADIUS сервер
R-DELTACONFIG(config)#
aaa authentication login default local
aaa authentication ppp default group radius local
aaa authorization exec default local
aaa authorization network default group radius local
aaa accounting network vpnMKac
action-type start-stop
group radius
После чего указать адрес RADIUS сервера и ключ для доступа к нему
R-DELTACONFIG(config)#
radius server RADIUS_DELTACONFIG
address ipv4 192.168.1.20 auth-port 1645 acct-port 1646
radius-server key 0 ключ_для_сервера
192.168.1.20 — адрес RADIUS (Active Directory) сервера компании.
Внимание!
На RADIUS сервере также должны быть выполнены соответствующие настройки, но их описание выходит за рамки этой статьи. Если вы не можете самостоятельно разобраться с этим методом подключения пользователей, то рекомендую выбрать способ авторизации пользователей через локальную базу на самом маршрутизаторе.
Шаг 5. Включение L2TP
Финальный этап — активация всех настроек для подключения удаленных пользователей к маршрутизатору Cisco по протоколу L2TP.
R-DELTACONFIG(config)#
vpdn enable
vpdn session-limit 100
vpdn-group L2TP_REMOTE_USERS
accept-dialin
protocol l2tp
virtual-template 1
no l2tp tunnel authentication
Шаг 6. Тонкости в настройка клиента
В интернете есть сотни статей по настройке клиентов, поэтому нет смысла копировать эту информацию сюда. Однако есть один очень важный момент, с которым связаны проблемы практически при каждой настройке.
Важно!
Одной из самых частых проблем при таких подключениях является то, что у клиента пропадает доступ к интернет во время того, как работает L2TP соединение с маршрутизатором Cisco. Это происходит из-за того, что при базовых настройках виртуальный шлюз внутри L2TP становится более приоритетным для клиента.
Для того, чтобы по L2TP тоннелю передавался трафик только до внутренних ресурсов компании, а доступ к интернет осуществлялся по-прежнему напрямую через оборудование клиента, необходимо выполнить дополнительные настройки на стороне клиента.
Для корректировки необходимо
зайти в настройки адаптера на вкладке “Сеть”
открыть свойства “Internet protocol Version 4 (TCP/IPv4)»
нажать “Дополнительно”
убрать галку с параметра “Использовать основной шлюз в удаленной сети”
Если этого не сделать, то весь трафик от клиентов пойдет через защищенный тоннель, что приведет к излишней нагрузке на маршрутизатор и на канал связи.
Важно!
Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-DELTACONFIG#write
Building configuration...
[OK]
Перейти к оглавлению
Похоже, что в статье была пропущена строчка с указанием шлюза по умолчанию для dhcp пула (ip dhcp pool POOL_L2TP_USERS)
ip default-gateway 192.168.100.1
Здравствуйте! Что нужно сделать, что бы устройства из VPN пула, видели устройства в локальной сети. В вашем случае, судя по конфигу, а не по схеме, из 192.168.100.0/24 в 192.168.1.0/24. Не хватает маршрута, не могу понять как его сделать.
Сделал конфиг согласно вашей инструкции. При подключение из Windows 10 не подключается. т.е происходит подключение и сразу вырубается. Посмотрел в Event Log, The error code returned on failure is 720.
Гугл говорит что проблема
Error 720: No PPP Control Protocols Configured
Error 720: Dial-Up networking could not negotiate a compatible set of network protocols you specified in Server Type settings. Check your network configuration in network control panel and try the connection again
При этом в Security settings я выставил галочки только MS-CHAP-V2. В чем тут подвох?