VPN Hvordan?

http://www.cisco.com/en/US/products/sw/secursw/ps2308/products_configuration_example09186a00801e71c0.shtml

vil du bruge PDM'en eller cli

jeg bruger cli

Hej _et

det er lige til :)

_______________


!
! Dette er din access-list som tillader trafik ind fra vpn klienterne
! Lav "any" om så det passer med den server eller det
! net som du vil tilgå

access-list outside_access_in permit ip 192.168.0.0 255.255.255.0 any

!
! her binder vi access-listen op til interfacet outside i IND'ad gånde
! retning.
!

access-group outside_access_in in interface outside


!
! hvis du ikke vil natte trafikken ud mod dine vpn klienter så
! laver man en access-list som er lig det trafik man ikke vil natde
!

access-list inside_outbound_nat0_acl permit ip any 192.168.0.0 255.255.255.0

!
! her laver jeg en nat regl,
! (inside)    = det interface som trafikken kommer ind på
! 0          = ingen nat (hvis man vil kæde den til en global ip 'pool'
!              skiver man nummeret på den pool)
! access-list = ;)
! inside_outbound_nat0_acl = navnet på access-listen
!

nat (inside) 0 access-list inside_outbound_nat0_acl

!
! her laver vi en access-list som 'fanger' alt trafik til vores vpn klienter
!
!

access-list outside_cryptomap_dyn_40 permit ip any 192.168.0.0 255.255.255.0

!
! her laver vi en ip pool til dynamisk tildeling af ip til klienter
!

ip local pool ippool-1 192.168.0.1-192.168.0.200


!
! Her laver vi et transform set (hvordan der skal krypretes)
! man kunne bruge ASE og SHA1 med fordel, det kræver bare lidt mere
! af klienterne ;)
!

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

!
! her laver vi en relg som krypterer trafik til access-listen
! outside_cryptomap_dyn_40 (any til 192.168.0.0/24)
!

crypto dynamic-map outside_dyn_map 40 match address outside_cryptomap_dyn_40

!
! Her skiver vi at trafik som er lig ovenfor access-list skal
! krypteres med transform set'et ESP-3DES-MD5
!

crypto dynamic-map outside_dyn_map 40 set transform-set ESP-3DES-MD5

!
! Her laver vi en tilføjlese til vores 'crypto map' med den laveste privotet
! som kæder dynamiske 'ip'er sammen med outside_dyn_map
!

crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map

!
! her binder vi crypto map'et outside_map til interfacet 'outside' ;)
!

crypto map outside_map interface outside

!
! her enabler vi isakmp på interfacet outside
!

isakmp enable outside


!
! her sætter vi en keepalive på vores vpn tunnel
! 20 = hver x sek send en keepalive
! 30 = retry hvert x sek hvis ingen svar 
!
isakmp keepalive 20 30

!
! enable isakmp nat-traversal
! (bruges til og teste om en af peer'ne er bar nat
!  så der kan undlades og tjekke på src feldet i pakken)
!
isakmp nat-traversal 10

!
! her laver vi en tilføjelese til isakmp policy 20
! (vi laver det her;)
! (fase 1)
! sætter foreslaget til og ...

! bruge pre-shared key's eller rsa certificater
isakmp policy 20 authentication pre-share

! sætter krypteringen til at bruge 3des
isakmp policy 20 encryption 3des
! sætter hash typen til SHA1
isakmp policy 20 hash sha
! sætter DH til groupe 2
isakmp policy 20 group 2
! sætter lifetime på fase 1 til 86400 sek
! hvis man er en bank så sæt det ned til fx 3600
isakmp policy 20 lifetime 86400


! her laver vi en vpn groupe
!
! sætter den til og bruge ip poolen ippool-1
vpngroup Medarbejder-VPN address-pool ippool-1

! sætter dns serveren address til 192.168.2.10
! det er den dns server som klienten bruger efter opkobling
vpngroup Medarbejder-VPN dns-server 192.168.2.10
! sætter wins serveren address
vpngroup Medarbejder-VPN wins-server 192.168.2.10
! her sætter vi default domain ;)
vpngroup Medarbejder-VPN default-domain knowing.dk
! idle timer, hvis der ikke har været trafik drop tunlen efter 1800 sek
! hvis det giver problemer kan man sætte timeren op, men det gør det ikke
vpngroup Medarbejder-VPN idle-time 1800
! sætter et password på groupen
! (mener nok at cisco klienten ikke kan hånterer mere end 20 tejn
!  brug ikke "!æøå^`´|                                  og space )
vpngroup Medarbejder-VPN password sdhiTGg23&29kwdf




det var det nemt ikke sandt, hvis du vil lave godkendelese af brugeren kan man også det, men kl er lidt for mange til jeg gider merer ;)

ps. jeg tager lige en tur på ski de næste par dage så der kommer nok ikke svar fra min side før fredag næste uge

Jeg har lige nogle spm.

spm 1.
!
! Dette er din access-list som tillader trafik ind fra vpn klienterne
! Lav "any" om så det passer med den server eller det
! net som du vil tilgå

access-list outside_access_in permit ip 192.168.0.0 255.255.255.0 any

Den ACL jeg har bundet til mit outside interface hedder hos mig "Outside-In".
Skal jeg så lave linjen om til:

access-list Outside-In permit ip 192.168.0.0 255.255.255.0 any
-------------------------------------------------------------------------
spm 2.
!
! hvis du ikke vil natte trafikken ud mod dine vpn klienter så
! laver man en access-list som er lig det trafik man ikke vil natde
!

access-list inside_outbound_nat0_acl permit ip any 192.168.0.0 255.255.255.0
Her er jeg ikke helt med på hvad du mener. Jeg har aldrig brug for at tilgå klienten fra serveren. da jeg ikke vil være hjemme mens vpn linket er oppe.
Desuden. denne ACL inside_outbound_nat0_acl har kun betydning for nat, så jeg behøver ikke rette dens navn, så det stemmer overens med interface ACL'erne.

spm1. : ja ;)
spm2. : ja og nej men du kan undlade det men så kan du ikke komme på pc/serverne via deres interne ip

Takker. Kast et svar :-)

her