VPDN на ASR 1000
Имею: ASR1002, IOS 15.3(3), лицензия максимальная.
Надо: сделать на ней VPN сервер, чтобы пользователи издалека работали в нашей сети.
Проблема: скопировав со старого VPDN конфигурацию, получаем "AAA disconnect code 24". В логе видно, что lcp поднимается и идёт запрос на аутентификацию, после чело молчание. В документации нашёл, что PPTP ASR не поддерживает. Ладно, попробуем с L2TP. Взяв за основу конфиг с www.justadmin.ru/cisco, имею:
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core
!
hostname VPDN
!
aqm-register-fnf
!
aaa new-model
!
!
aaa authentication ppp VPNA local
aaa authentication ppp FREE none
aaa authorization network FREE none
!
aaa attribute list test
attribute type addr 10.0.0.222 service vpdn
!
!
aaa session-id common
!
ip domain name net.bsu
ip name-server 10.0.0.20
!
ip dhcp pool VPN
network 10.222.0.0 255.255.0.0
domain-name vpn.bsu
netbios-name-server 10.0.0.20 10.0.0.21 10.0.0.4
netbios-node-type p-node
dns-server 10.0.0.21 10.0.0.20
!
!
multilink bundle-name authenticated
vpdn enable
vpdn search-order dnis
!
vpdn-group EXT
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation always
no l2tp tunnel authentication
ip pmtu
ip mtu adjust
!
!
spanning-tree extend system-id
!
username test privilege 0 password 0 ---
username test aaa attribute list test
username root privilege 15 password 0 ***
!
redundancy
mode none
!
ip tftp source-interface GigabitEthernet0/0/2
ip rcmd rsh-enable
!
crypto isakmp policy 100
encr aes
hash md5
authentication pre-share
group 19
lifetime 3600
crypto isakmp key PASSWORD address 0.0.0.0 no-xauth
!
!
crypto ipsec transform-set T-L2TP esp-null esp-md5-hmac
mode transport
!
crypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set T-L2TP
!
interface Loopback0
ip address 10.222.0.1 255.255.255.255
!
interface GigabitEthernet0/0/2
description Intranet
ip address 10.0.0.222 255.128.0.0
negotiation auto
crypto map L2TP
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
no ip address
shutdown
negotiation auto
!
interface Virtual-Template1
ip unnumbered Loopback0
ip tcp header-compression
peer default ip address dhcp-pool VPN
ppp authentication chap ms-chap ms-chap-v2 callin VPNA
ppp authorization FREE
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
privilege level 15
stopbits 1
speed 115200
line aux 0
stopbits 1
line vty 0 4
privilege level 15
!
!
end
Включаю - не работает. Какие-то пакеты по KMP идут в две стороны, после чего пакет от клиента посылается несколько раз один и тот же, затем облом. В логе нет сообщения даже от deb vpdn event. Что делать?
Надо: сделать на ней VPN сервер, чтобы пользователи издалека работали в нашей сети.
Проблема: скопировав со старого VPDN конфигурацию, получаем "AAA disconnect code 24". В логе видно, что lcp поднимается и идёт запрос на аутентификацию, после чело молчание. В документации нашёл, что PPTP ASR не поддерживает. Ладно, попробуем с L2TP. Взяв за основу конфиг с www.justadmin.ru/cisco, имею:
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core
!
hostname VPDN
!
aqm-register-fnf
!
aaa new-model
!
!
aaa authentication ppp VPNA local
aaa authentication ppp FREE none
aaa authorization network FREE none
!
aaa attribute list test
attribute type addr 10.0.0.222 service vpdn
!
!
aaa session-id common
!
ip domain name net.bsu
ip name-server 10.0.0.20
!
ip dhcp pool VPN
network 10.222.0.0 255.255.0.0
domain-name vpn.bsu
netbios-name-server 10.0.0.20 10.0.0.21 10.0.0.4
netbios-node-type p-node
dns-server 10.0.0.21 10.0.0.20
!
!
multilink bundle-name authenticated
vpdn enable
vpdn search-order dnis
!
vpdn-group EXT
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation always
no l2tp tunnel authentication
ip pmtu
ip mtu adjust
!
!
spanning-tree extend system-id
!
username test privilege 0 password 0 ---
username test aaa attribute list test
username root privilege 15 password 0 ***
!
redundancy
mode none
!
ip tftp source-interface GigabitEthernet0/0/2
ip rcmd rsh-enable
!
crypto isakmp policy 100
encr aes
hash md5
authentication pre-share
group 19
lifetime 3600
crypto isakmp key PASSWORD address 0.0.0.0 no-xauth
!
!
crypto ipsec transform-set T-L2TP esp-null esp-md5-hmac
mode transport
!
crypto map L2TP 100 ipsec-isakmp profile L2TP
set transform-set T-L2TP
!
interface Loopback0
ip address 10.222.0.1 255.255.255.255
!
interface GigabitEthernet0/0/2
description Intranet
ip address 10.0.0.222 255.128.0.0
negotiation auto
crypto map L2TP
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
no ip address
shutdown
negotiation auto
!
interface Virtual-Template1
ip unnumbered Loopback0
ip tcp header-compression
peer default ip address dhcp-pool VPN
ppp authentication chap ms-chap ms-chap-v2 callin VPNA
ppp authorization FREE
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
control-plane
!
line con 0
privilege level 15
stopbits 1
speed 115200
line aux 0
stopbits 1
line vty 0 4
privilege level 15
!
!
end
Включаю - не работает. Какие-то пакеты по KMP идут в две стороны, после чего пакет от клиента посылается несколько раз один и тот же, затем облом. В логе нет сообщения даже от deb vpdn event. Что делать?