[ESR] Пример настройки L2TP+IPsec клиент сервер на ESR
Настройка L2TP сервера (приемной стороны)
Для начала нужно создать объекты стандартных портов для L2TP и IKE.
object-group service L2TP
port-range 1701
exit
object-group service IKE
port-range 500
exit
Создать правила в файрволле, разрешающие обращения из внешней сети к маршрутизатору по стандартным портам L2TP и IKE и запретить все остальные
security zone-pair untrusted self
rule 1
action permit
match protocol udp
match destination-port L2TP
enable
exit
rule 2
action permit
match protocol udp
match destination-port IKE
enable
exit
rule 3
action deny
enable
exit
exit
Настроить аплинк маршрутизатора:
bridge 2
ip address X.X.X.X/N , где X.X.X.X/N - статический белый IP и подсеть, полученная от провайдера
ip tcp adjust-mss 1400 - при создании туннеля, желательно уменьшить mtu на порту
exit
###___Альтернативный способ
interface gigabitethernet 1/0/1
switchport access vlan 1
mode routerport
security-zone untrusted
ip address X.X.X.X/N , где X.X.X.X/N - статический белый IP и подсеть, полученная от провайдера
ip tcp adjust-mss 1400 - при создании туннеля, желательно уменьшить mtu на порту
exit
###___
Создать IPsec профиль
security ipsec proposal test
exit
Создать IPsec политику
security ipsec policy test
proposal test
exit
Теперь нужно настроить сервер для подключений L2TP-клиентов
* Remote Access IPsec VPN – сценарий организации временных VPN-подключений, в котором
сервер IPsec VPN находится в режиме ожидания входящих подключений, а клиенты осуществляют
временные подключения к серверу для получения доступа к сетевым ресурсам.
remote-access l2tp L2TP
mtu 1400
authentication mode local <способ работы сервера по локальной базе, т.е. без использования radius-сервера>
local-address ip-address 10.0.0.1 <серый IP адрес, который будет принадлежать этому ESR>
remote-address address-range 10.0.0.2-10.0.0.10 <диапазон адресов, которые будут присваиваться маршрутизаторам, на другом конце туннелей>
outside-address ip-address X.X.X.X <IP-адрес, по которому будет доступен маршрутизатор>
security-zone trusted
ipsec authentication method pre-shared-key <метод аутентификации для ipsec, в данном примере по паролю>
ipsec authentication pre-shared-key ascii-text test <пароль>
Не выходя из настроек, создадим локальную базу пользователей
username test1 <логин для локального пользователя>
password ascii-text test1 <пароль для одного из туннелей>
enable
remote network 192.168.1.0/24 <подсеть, которая будет находиться за туннелем на удаленной стороне>
exit
enable
exit
*дальше можно создать еще нескольких пользователей по аналогии
*Все пароли при выгрузке конфигурации будут в зашифрованном виде. Восстановить их в первоначальный крайне затруднительно, но строки конфигурации можно копировать в другие маршрутизаторы ESR и там они будут корректно интерпретироваться.
* Можно добавлять несколько локальных пользователей аналогичным способом
exit
Настройка L2TP-клиента (удаленной стороны)
Для начала нужно настроить соединение с вышестоящим оборудованием. Если вы включаете
Настроить аплинк маршрутизатора
interface gigabitethernet 1/0/1
description "UPLINLK"
security-zone untrusted
ip address X.X.X.X/N , где X.X.X.X/N - статический IP и подсеть к вышестоящему устройству
ip tcp adjust-mss 1400 - при создании туннеля, желательно уменьшить mtu на порту
exit
Настроить клиентскую часть l2tp клиента
tunnel l2tp 1
security-zone trusted
mtu 1400
username test1 password ascii-text test1 - где test1 – это логин и пароль (необязательно одинаковые) для l2tp подключения. Они должны совпадать в теми, которые настраиваете на серверной части
remote address X.X.X.X - где <X.X.X.X – IP-адрес сервера, к которому будет происходить подключение
ipsec authentication method pre-shared-key
ipsec authentication pre-shared-key ascii-text test <пароль> - пароль для IPsec подключения
enable
exit
### Если в ходе настройки возникли проблемы проверьте наличие команд enable во всех местах как в примере, разрешен ли порт 1701 в фаерволе и совпадают ли логины/пароли для подключения.
Можно пользоваться мониторингом портов, через которые проходит подключение для анализа проблем при помощи команды:
monitor interface gi1/0/1
Источник:
docs.eltex-co.ru