VPN configuration in cisco

[gim99]

السلام عليكم إخواني

لدي router cisco 1841 و قمت بعملية configuration VPN على الWINDOWS 2003 SERVER
ولكن العملية فشلت, أخبروني أنه يجب علي عمل configuration في ال router cisco و لكني لم أجد ما أقوم به.

علما أنه لدي LS مع PPP encapsulation

و IP @ public

و ACL لمنع الFTP على الخط


ip access-list extended INTERNET

deny ip host 192.168.1.200 any

هدا server خاص لا علاقة له بالأمر

permit udp 192.168.1.0 0.0.0.255 host 193.95.66.10

permit udp 192.168.1.0 0.0.0.255 host 193.95.66.11

permit udp 192.168.1.0 0.0.0.255 host 213.150.176.196

هده الأسطر خاصة ب ال DNS لمزود الخدمة


deny tcp 192.168.1.0 0.0.0.255 any eq ftp

deny tcp 192.168.1.0 0.0.0.255 any eq ftp-da

permit tcp 192.168.1.0 0.0.0.255 any

هدا كل ما عندي

أرجو مساعدتي و شكرا لكم إخواني

[minimax]

وعليكم السلام أخي الكريم,

نحتاج معلومات أكثر, مثلا VPN Tunnel حيكون بين مين ومين ( Tunnel Endpoints)

هل عندك Remote office وحابب توصله ب main office؟ ولا عندك remote users وحيشبكوا على main office

واضح من access list أنه عندك private subnet وفي natting على public IP

الطرف الأول حيكون router cisco 1841

الطرف التاني مين؟

[gim99]

يا أخي الأمر بسيط للغاية
الserver على ال Windows 2003
و ال client على Windows xp و هو شخص واحد يريد إستخدام برنامج خاص بالشركة لمراقبة سير العمل.

[minimax]

طيب تحتاج تفتح ports الخاصة ب VPN tunnel



PPTP traffic uses TCP port 1723 to create and maintain the connection and IP protocol 47 to send data.
L2TP/IPSec traffic uses UDP ports 500 and 4500 to create and maintain the connection and IP protocol 50 to send data. Configure your firewall to allow these types of traffic to and from your VPN server

[gim99]

ليس لدي أخي firewall في الشركة
ففي هده الحالة لا أعلم ها أقوم على سبيل المثال بالقيام بعملية permit في ال acess list لكل هده ال ports او مدا

و آسف لو تعبتك معاي

[minimax]

لا يا أخي الكريم لا تعتذر, ما في تعب إحنا كلنا في عرب هاردور أسرة واحدة نساعد بعض

نعم تقوم بعمل Permit في acess list

ports تختلف على حسب نوع Tunnel

إذا كان PPTP , تقوم بفتح TCP port 1723 و GRE-->IP protocol 47

إذا كان L2TP/IPSec , تقوم بفتح UDP ports 500 and 4500 و ESP--> IP Protocol 50



permit esp any any
permit gre any any
permit udp any any eq 500
permit udp any any eq 4500
permit tcp any any eq 1723

مع تغيير any ب public IP address تبع windows server

[gim99]

شكرا أخي ملاحظاتك هامة جدا

جربت كل هدا و لكن العملية لم تنجح

لا أعلم ما الدي ينقص بالرغم من أنني قمت بهده العملية من قبل لكن على adsl MODEM

[minimax]

أول نقطة,

هل عندك access-list في inbound direction على outside أو Internet interface

لو عندك تحتاج تعمل permit ل ports في access-list

لأني شايف access-list الموجودة في أعلى الموضوع بتعمل permit من inside to outside

يعني حتعمل permit ل ports في إتجاهين (inbound و outbound)

ثاني نقطة, إنت كام عندك public IP address

حسب ما أنا فهمت من configuration , إنت عامل PAT وعادة يفضل يكون موجود one public ip address خاص ب server

يعني يفضل تعمل static nat

إذا ما عندك Public IP address ثاني, ممكن تستخدم كلمة reversible في pat
عشان Allow out->in traffic

ip nat inside source list 100 interface fa0/0 reversible

أنا عارف أنه صعب تعمل paste ل configuration بس حنقدر نساعدك أكثر لو تقدر تعمل paste

في شئ ثاني ممكن يساعدك في troubleshooting

لو عملت show access-lists INTERNET

حيعطيك عدد hits في نهاية كل سطر وكدا ممكن تعرف أي traffic بيعدي خلال Router

[gim99]

شكرا أخي الغالي

هده كل الonfigا الموجودة على ال router

interface FastEthernet0/0
ip address (public adress) secondary
ip address 192.168.1.10 255.255.255.0

ip nat inside
duplex auto
speed auto
!

!
interface Serial0/0/0
ip address 192.168.50.110 255.255.255.252
ip nat outside
encapsulation ppp
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000

ip nat pool INTERNET (public adress) netmask 255.255.255.252
ip nat inside source list INTERNET pool INTERNET overload
ip nat inside source static tcp 192.168.1.201 80 (public adress) 80 extendable
!
ip access-list extended INTERNET
deny ip host 192.168.1.200 any
هدا server خاص لا علاقة له بالأمر
permit udp 192.168.1.0 0.0.0.255 host 193.95.66.10
permit udp 192.168.1.0 0.0.0.255 host 193.95.66.11
permit udp 192.168.1.0 0.0.0.255 host 213.150.176.196
deny tcp 192.168.1.0 0.0.0.255 any eq ftp
deny tcp 192.168.1.0 0.0.0.255 any eq ftp-da
permit esp (public adress)any
permit gre (public adress) any
permit udp (public adress) any eq 500
permit udp (public adress) any eq 4500
permit tcp (public adress) any eq 1723
permit tcp 192.168.1.0 0.0.0.255 any

أنا فعلا عندي @public واحدة و لكن دلك لا يقلق كثيرا
بارك الله فيك أخي و الله أخجلتني
شكرا

[minimax]

أخي gim99 عذرا على التأخير


ip nat inside source static udp (private adress) 500 interface Serial0/0/0 500
ip nat inside source static udp (private adress) 4500 interface Serial0/0/0 4500
ip nat inside source static esp (private adress) interface Serial0/0/0

تحتاج تغير private adress ل ip address تبع windows server

وعلشان تعمل refresh ل new configuration لازم تشيل nat من interface وتحطه من جديد

int fa0/0
no ip nat inside
ip nat inside
interface Serial0/0/0
no ip nat outside
ip nat outside

قبل ما تحط new configuration , إعمل backup عشان لا قدر الله لو حصلت مشكلة فمكن تعمل restore

[gim99]

شكرا أخي على تعبك معاي

العملية لم تنجح سأحاول بطرق أخرى و إن نجحت سأخبركم ما الذي قمت بعمله

شكرا أخي مرة أخرى

[fatheroflions]

يا أخي الكريم , اذا كان السيرفر والمستخدم في نفس الموقع فلن تحتاج لعمل أي شيء على الراوتر لكن اذا كان الشخص الذي يريد متابعة سير العمل بمكان وهذا المكان يحتوي على الclient وراوتر , وموقع العمل بمكان آخر ويحتوي على سيرفر ورواتر فهنا يتوجب عليك عمل VPN بين الموقعين , لتسهيل ايجاد الحل فمن الافضل أن تعطينا سيناريو التوصيل لاعطاء الحل الصحيح

ولك التحية

[masterghost2005]

PPTP Router Configuration
These IOS commands are applicable to all platforms that support PPTP.

2621#

configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
!−−− Enable virtual private dial−up networking.
2621(config)#

vpdn enable

!−−− Enters VPDN group configuration mode for the specified VPDN group.
2621(config)#

vpdn−group 1

!−−− Enters VPDN accept−dialin configuration mode
!−−− and enables the router to accept dial−in requests.
2621(config−vpdn)#

accept−dialin

!−−− Specifies which PPTP protocol is used.
2621(config−vpdn−acc−in)#

protocol pptp

!−−− Specifies the virtual template that is used
!−−− in order to clone the virtual access interface.
2621(config−vpdn−acc−in)#

virtual−template 1

2621(config−vpdn−acc−in)#

exit

2621(config)#

ip local pool test 192.168.1.1 192.168.1.250

!−−− Create virtual−template interface used for cloning
!−−− virtual−access interfaces with the use of address pool test
!−−− with Challenge Authentication Protocol (CHAP) authentication, PAP, and MS−CHAP.
2621(config)#

interface virtual−template 1

2621(config−if)#

encapsulation ppp

2621(config−if)#

peer default ip address pool test

2621(config−if)#

ip unnumbered FastEthernet0/0

2621(config−if)#

no keepalive

2621(config−if)#

ppp encrypt mppe auto

2621(config−if)#

ppp authentication pap chap ms−chap

-------------------------------------------
2621#

show run

Building configuration...
Current configuration : 1566 bytes
!
version 12.2
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
no service password−encryption
!
hostname 2621
!
boot system flash
logging queue−limit 100
enable secret 5 $1$dGFC$VA28yOWzxlCKyj1dq8SkE/
!
username cisco password 0 cisco123
username client password 0 testclient
ip subnet−zero
ip cef
!
!
no ip domain lookup
ip domain name cisco.com
!
vpdn enable
!−−− Enable VDPN.
!
vpdn−group 1
!−−− Default PPTP VPDN group.
accept−dialin
protocol pptp
virtual−template 1
!
!
!
voice call carrier capacity active
!
!!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!

mta receive maximum−recipients 0

controller T1 0/0
framing sf
linecode ami
!
controller T1 0/1
framing sf
linecode ami
!
!
!
interface Loopback0
ip address 10.100.100.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/0
ip address 172.16.142.191 255.255.255.0
no ip route−cache
no ip mroute−cache
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.130.13.13 255.255.0.0
duplex auto
speed auto
!
!−−− Create virtual−template interface used for cloning
!−−− virtual−access interfaces with the use of address pool test
!−−− with CHAP authentication, PAP, and MS−CHAP.
interface Virtual−Template1
ip unnumbered FastEthernet0/0
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms−chap
!
!−−− Create IP pool named test and specify IP range.
ip local pool test 192.168.1.1 192.168.1.250
no ip http server
no ip http secure−server
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.142.1
!
ip pim bidir−enable
!
!
!
call rsvp−sync
!
!
mgcp profile default
!
dial−peer cor custom
!
!
!
!
!
line con 0
exec−timeout 0 0

line aux 0
line vty 0 4
password cisco
login
!
!
end
2621#

[gim99]

السلام عليكم يا إخواني

شكرا لإهتمامكم بمشكلتي
الأمر بسيط يا إخوتي

أنا عندي سرفر به برنامج خاص لا يعمل إلا على الشبكة و لدي Router cisco 1841 و قمت بالconfig لل VPN server عن طريق ال Remote Access/VPN Server لل WINDOWS 2003 SERVER و مدير الشركة في فرنسا و لديه adsl عادي لذلك لا توجد لديه مشكلة كبيرة في الCONFIGURATION و لا أملك FIREWALL في الشركة فقط SYMANTEC ANTIVIRUS.

[zoone]

السلام عليكم يا إخواني

شكرا لإهتمامكم بمشكلتي
الأمر بسيط يا إخوتي

أنا عندي سرفر به برنامج خاص لا يعمل إلا على الشبكة و لدي Router cisco 1841 و قمت بالconfig لل VPN server عن طريق ال Remote Access/VPN Server لل WINDOWS 2003 SERVER و مدير الشركة في فرنسا و لديه adsl عادي لذلك لا توجد لديه مشكلة كبيرة في الCONFIGURATION و لا أملك FIREWALL في الشركة فقط SYMANTEC ANTIVIRUS.

بس يا غالي هذا مو vpn


حبيب قلبي gim99

انا اعمل في شركة isp ومليت ولله الحمد من كثر ما اعمل vpn سواء ربط داخل البلد او خارجها

1- بما انا الراوتر الي عندك 1841 فتاكد ان ios تبعه k9 اي سبورت vpn ويمكن معرفة ذالك من خلال show ver

2- تاكد وتاكد وتاكد ان الwan interface او الوينت تو بوينت public ip adress لنك سوف تتطبق ال crypto علية

3- يجب ان يكون ال نتووورك الداخليه هنا تختلف عن النتورك الي هناك

4- تنشي vpn tunnlr using the wan interface @another side

الموضوع اسهل من الشرح الي هنا اذا احتج شي قلي