amarao (amarao_san) wrote,
amarao
amarao_san

Categories:

HOWTO настройка VPN-сервера на циске с использованием радиуса

(часть первая - настройка цисковой части)

Основная идея RADIUS-части:

Пользователь пытается установить соединение (PPTP или другое PPP, или даже L2TP). Циска принимает запрос на аутоидентификацию, обращается на RADIUS-сервер, передаёт ему данные, исходя из ответа сервера, принимает аутоидентификацию и производит авторизацию пользователя. Туда же (на радиус) отсылается аккаунтинг. Собственно, эти три части и есть AAA:

Аутоидентификация - доказательство, что пользователь это пользователь (обычно для доказательства используют логин-пароль)
Авторизация - разрешение пользователю делать что-либо. Например, пересылать IP-пакеты. Авторизация не проверяет подлинность пользователя (этим занимается аутоидентификация), она говорит можно ли пользователю А делать Б.
Аккаунтинг - данные о том, что делал пользователь (аналогично, является ли пользователь А пользователем А занимается аутоидентификация).


Настройка циски:

aaa new-model (включить aaa)
aaa authentication ppp OUR-VPN-NAME group radius (aaa для идентификации ppp пользователей группы OUR-VPN-NAME использовать данные радиус-сервера)
aaa authorization network OUR-VPN-NAME group radius (aaa авторизовать пользователей из группы OUR-VPN-NAME на пользование ресурсами сети (пересылку данных) исходя из того, что ответит радиус).

vpdn enable (ключить vpdn, то бишь включить VPN-сервер)
vpdn-group 1 (настройки первой группы, то бишь настройки по-умолчанию)
accept-dialin (настройки приёма соединения)
protocol pptp (используем протокол PPTP)
virtual-template 1 (каждому пришедшему пользователю создаётся виртуальный интерфейс, который и устанавливает ppp-соединение с пользователем, эта опция указывает, исходя из какого шаблона создаётся этот виртуальный интерфейс)

interface Virtual-Template1 (собственно, декларация шаблона)
ip unnumbered FastEthernet0/0 (пакеты выбрасываются в интерфейс без машрутизации)
no peer default ip address (У пира нет адреса по-умолчанию (адрес говорит радиус))
ppp encrypt mppe auto (если можно, то включить шифрование)
ppp authentication ms-chap-v2 ms-chap OUR-VPN-NAME (для аутоидентификации PPP использовать протоколы ms-chap (обоих версий) и использовать OUR-VPN-NAME (см секцию aaa выше))
ppp authorization OUR-VPN-NAME (аналогично для авторизации - см секцию aaa)

radius-server host 192.168.1.1 auth-port 1812 acct-port 1813 (адрес и порты RADIUS-сервера)
radius-server key 7 7 777777777777 (пароль для связи с сервером).
Tags: cisco, howto, vpn, администрирование
Subscribe

  • мы их теряем!

    Make: 1976 Прямо сейчас выходят на пенсию люди, для которых make был новомодной технологией, которую притащили хипстеры.

  • Админская мудрость

    Когда вывод strace на башовый скрипт становится понятнее самого скрипта, граница разумности давно пройдена.

  • Rules of internet

    Rule 34. There is porn of it. Rule 35. It's used to mine cryptocurrencies.

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 1 comment