مشاهدة النسخة كاملة : VPN configuration in cisco
السلام عليكم إخواني
لدي router cisco 1841 و قمت بعملية configuration VPN على الWINDOWS 2003 SERVER
ولكن العملية فشلت, أخبروني أنه يجب علي عمل configuration في ال router cisco و لكني لم أجد ما أقوم به.
علما أنه لدي LS مع PPP encapsulation
و IP @ public
و ACL لمنع الFTP على الخط
ip access-list extended INTERNET
deny ip host 192.168.1.200 any
هدا server خاص لا علاقة له بالأمر
permit udp 192.168.1.0 0.0.0.255 host 193.95.66.10
permit udp 192.168.1.0 0.0.0.255 host 193.95.66.11
permit udp 192.168.1.0 0.0.0.255 host 213.150.176.196
هده الأسطر خاصة ب ال DNS لمزود الخدمة
deny tcp 192.168.1.0 0.0.0.255 any eq ftp
deny tcp 192.168.1.0 0.0.0.255 any eq ftp-da
permit tcp 192.168.1.0 0.0.0.255 any
هدا كل ما عندي
أرجو مساعدتي و شكرا لكم إخواني
وعليكم السلام أخي الكريم,
نحتاج معلومات أكثر, مثلا VPN Tunnel حيكون بين مين ومين ( Tunnel Endpoints)
هل عندك Remote office وحابب توصله ب main office؟ ولا عندك remote users وحيشبكوا على main office
واضح من access list أنه عندك private subnet وفي natting على public IP
الطرف الأول حيكون router cisco 1841
الطرف التاني مين؟
يا أخي الأمر بسيط للغاية
الserver على ال Windows 2003
و ال client على Windows xp و هو شخص واحد يريد إستخدام برنامج خاص بالشركة لمراقبة سير العمل.
طيب تحتاج تفتح ports الخاصة ب VPN tunnel
PPTP traffic uses TCP port 1723 to create and maintain the connection and IP protocol 47 to send data.
L2TP/IPSec traffic uses UDP ports 500 and 4500 to create and maintain the connection and IP protocol 50 to send data. Configure your firewall to allow these types of traffic to and from your VPN server
ليس لدي أخي firewall في الشركة
ففي هده الحالة لا أعلم ها أقوم على سبيل المثال بالقيام بعملية permit في ال acess list لكل هده ال ports او مدا
و آسف لو تعبتك معاي
لا يا أخي الكريم لا تعتذر, ما في تعب إحنا كلنا في عرب هاردور أسرة واحدة نساعد بعض
نعم تقوم بعمل Permit في acess list
ports تختلف على حسب نوع Tunnel
إذا كان PPTP , تقوم بفتح TCP port 1723 و GRE-->IP protocol 47
إذا كان L2TP/IPSec , تقوم بفتح UDP ports 500 and 4500 و ESP--> IP Protocol 50
permit esp any any
permit gre any any
permit udp any any eq 500
permit udp any any eq 4500
permit tcp any any eq 1723
مع تغيير any ب public IP address تبع windows server
شكرا أخي ملاحظاتك هامة جدا
جربت كل هدا و لكن العملية لم تنجح
لا أعلم ما الدي ينقص بالرغم من أنني قمت بهده العملية من قبل لكن على adsl MODEM
أول نقطة,
هل عندك access-list في inbound direction على outside أو Internet interface
لو عندك تحتاج تعمل permit ل ports في access-list
لأني شايف access-list الموجودة في أعلى الموضوع بتعمل permit من inside to outside
يعني حتعمل permit ل ports في إتجاهين (inbound و outbound)
ثاني نقطة, إنت كام عندك public IP address
حسب ما أنا فهمت من configuration , إنت عامل PAT وعادة يفضل يكون موجود one public ip address خاص ب server
يعني يفضل تعمل static nat
إذا ما عندك Public IP address ثاني, ممكن تستخدم كلمة reversible في pat
عشان Allow out->in traffic
ip nat inside source list 100 interface fa0/0 reversible
أنا عارف أنه صعب تعمل paste ل configuration بس حنقدر نساعدك أكثر لو تقدر تعمل paste
في شئ ثاني ممكن يساعدك في troubleshooting
لو عملت show access-lists INTERNET
حيعطيك عدد hits في نهاية كل سطر وكدا ممكن تعرف أي traffic بيعدي خلال Router
شكرا أخي الغالي
هده كل الonfigا الموجودة على ال router
interface FastEthernet0/0
ip address (public adress) secondary
ip address 192.168.1.10 255.255.255.0
ip nat inside
duplex auto
speed auto
!
!
interface Serial0/0/0
ip address 192.168.50.110 255.255.255.252
ip nat outside
encapsulation ppp
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/0
!
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool INTERNET (public adress) netmask 255.255.255.252
ip nat inside source list INTERNET pool INTERNET overload
ip nat inside source static tcp 192.168.1.201 80 (public adress) 80 extendable
!
ip access-list extended INTERNET
deny ip host 192.168.1.200 any
هدا server خاص لا علاقة له بالأمر
permit udp 192.168.1.0 0.0.0.255 host 193.95.66.10
permit udp 192.168.1.0 0.0.0.255 host 193.95.66.11
permit udp 192.168.1.0 0.0.0.255 host 213.150.176.196
deny tcp 192.168.1.0 0.0.0.255 any eq ftp
deny tcp 192.168.1.0 0.0.0.255 any eq ftp-da
permit esp (public adress)any
permit gre (public adress) any
permit udp (public adress) any eq 500
permit udp (public adress) any eq 4500
permit tcp (public adress) any eq 1723
permit tcp 192.168.1.0 0.0.0.255 any
أنا فعلا عندي @public واحدة و لكن دلك لا يقلق كثيرا
بارك الله فيك أخي و الله أخجلتني
شكرا
أخي gim99 عذرا على التأخير
ip nat inside source static udp (private adress) 500 interface Serial0/0/0 500
ip nat inside source static udp (private adress) 4500 interface Serial0/0/0 4500
ip nat inside source static esp (private adress) interface Serial0/0/0
تحتاج تغير private adress ل ip address تبع windows server
وعلشان تعمل refresh ل new configuration لازم تشيل nat من interface وتحطه من جديد
int fa0/0
no ip nat inside
ip nat inside
interface Serial0/0/0
no ip nat outside
ip nat outside
قبل ما تحط new configuration , إعمل backup عشان لا قدر الله لو حصلت مشكلة فمكن تعمل restore
شكرا أخي على تعبك معاي
العملية لم تنجح سأحاول بطرق أخرى و إن نجحت سأخبركم ما الذي قمت بعمله
شكرا أخي مرة أخرى
fatheroflions
11-03-2009, 16:51
يا أخي الكريم , اذا كان السيرفر والمستخدم في نفس الموقع فلن تحتاج لعمل أي شيء على الراوتر لكن اذا كان الشخص الذي يريد متابعة سير العمل بمكان وهذا المكان يحتوي على الclient وراوتر , وموقع العمل بمكان آخر ويحتوي على سيرفر ورواتر فهنا يتوجب عليك عمل VPN بين الموقعين , لتسهيل ايجاد الحل فمن الافضل أن تعطينا سيناريو التوصيل لاعطاء الحل الصحيح
ولك التحية
masterghost2005
11-03-2009, 17:02
PPTP Router Configuration
These IOS commands are applicable to all platforms that support PPTP.
2621#
configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
!−−− Enable virtual private dial−up networking.
2621(config)#
vpdn enable
!−−− Enters VPDN group configuration mode for the specified VPDN group.
2621(config)#
vpdn−group 1
!−−− Enters VPDN accept−dialin configuration mode
!−−− and enables the router to accept dial−in requests.
2621(config−vpdn)#
accept−dialin
!−−− Specifies which PPTP protocol is used.
2621(config−vpdn−acc−in)#
protocol pptp
!−−− Specifies the virtual template that is used
!−−− in order to clone the virtual access interface.
2621(config−vpdn−acc−in)#
virtual−template 1
2621(config−vpdn−acc−in)#
exit
2621(config)#
ip local pool test 192.168.1.1 192.168.1.250
!−−− Create virtual−template interface used for cloning
!−−− virtual−access interfaces with the use of address pool test
!−−− with Challenge Authentication Protocol (CHAP) authentication, PAP, and MS−CHAP.
2621(config)#
interface virtual−template 1
2621(config−if)#
encapsulation ppp
2621(config−if)#
peer default ip address pool test
2621(config−if)#
ip unnumbered FastEthernet0/0
2621(config−if)#
no keepalive
2621(config−if)#
ppp encrypt mppe auto
2621(config−if)#
ppp authentication pap chap ms−chap
-------------------------------------------
2621#
show run
Building configuration...
Current configuration : 1566 bytes
!
version 12.2
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
no service password−encryption
!
hostname 2621
!
boot system flash
logging queue−limit 100
enable secret 5 $1$dGFC$VA28yOWzxlCKyj1dq8SkE/
!
username cisco password 0 cisco123
username client password 0 testclient
ip subnet−zero
ip cef
!
!
no ip domain lookup
ip domain name cisco.com
!
vpdn enable
!−−− Enable VDPN.
!
vpdn−group 1
!−−− Default PPTP VPDN group.
accept−dialin
protocol pptp
virtual−template 1
!
!
!
voice call carrier capacity active
!
!!
!
!
no voice hpi capture buffer
no voice hpi capture destination
!
!
mta receive maximum−recipients 0
controller T1 0/0
framing sf
linecode ami
!
controller T1 0/1
framing sf
linecode ami
!
!
!
interface Loopback0
ip address 10.100.100.1 255.255.255.0
ip nat inside
!
interface FastEthernet0/0
ip address 172.16.142.191 255.255.255.0
no ip route−cache
no ip mroute−cache
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.130.13.13 255.255.0.0
duplex auto
speed auto
!
!−−− Create virtual−template interface used for cloning
!−−− virtual−access interfaces with the use of address pool test
!−−− with CHAP authentication, PAP, and MS−CHAP.
interface Virtual−Template1
ip unnumbered FastEthernet0/0
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms−chap
!
!−−− Create IP pool named test and specify IP range.
ip local pool test 192.168.1.1 192.168.1.250
no ip http server
no ip http secure−server
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.142.1
!
ip pim bidir−enable
!
!
!
call rsvp−sync
!
!
mgcp profile default
!
dial−peer cor custom
!
!
!
!
!
line con 0
exec−timeout 0 0
line aux 0
line vty 0 4
password cisco
login
!
!
end
2621#
السلام عليكم يا إخواني
شكرا لإهتمامكم بمشكلتي
الأمر بسيط يا إخوتي
أنا عندي سرفر به برنامج خاص لا يعمل إلا على الشبكة و لدي Router cisco 1841 و قمت بالconfig لل VPN server عن طريق ال Remote Access/VPN Server لل WINDOWS 2003 SERVER و مدير الشركة في فرنسا و لديه adsl عادي لذلك لا توجد لديه مشكلة كبيرة في الCONFIGURATION و لا أملك FIREWALL في الشركة فقط SYMANTEC ANTIVIRUS.
السلام عليكم يا إخواني
شكرا لإهتمامكم بمشكلتي
الأمر بسيط يا إخوتي
أنا عندي سرفر به برنامج خاص لا يعمل إلا على الشبكة و لدي Router cisco 1841 و قمت بالconfig لل VPN server عن طريق ال Remote Access/VPN Server لل WINDOWS 2003 SERVER و مدير الشركة في فرنسا و لديه adsl عادي لذلك لا توجد لديه مشكلة كبيرة في الCONFIGURATION و لا أملك FIREWALL في الشركة فقط SYMANTEC ANTIVIRUS.
بس يا غالي هذا مو vpn
حبيب قلبي gim99 (https://www.arabhardware.net/forum/member.php?u=149342)
انا اعمل في شركة isp ومليت ولله الحمد من كثر ما اعمل vpn سواء ربط داخل البلد او خارجها
1- بما انا الراوتر الي عندك 1841 فتاكد ان ios تبعه k9 اي سبورت vpn ويمكن معرفة ذالك من خلال show ver
2- تاكد وتاكد وتاكد ان الwan interface او الوينت تو بوينت public ip adress لنك سوف تتطبق ال crypto علية
3- يجب ان يكون ال نتووورك الداخليه هنا تختلف عن النتورك الي هناك
4- تنشي vpn tunnlr using the wan interface @another side
الموضوع اسهل من الشرح الي هنا اذا احتج شي قلي
Powered by vBulletin® Version 4.2.5 Copyright © 2024 vBulletin Solutions, Inc. All rights reserved, TranZ by Almuhajir