Теория
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5

Практика
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6

Руководство
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6
Часть 7
Часть 8
Часть 9
Часть 10
Часть 11

О Проекте
О SoftEther VPN
Спецификация
Вопрос-ответ
Соглашение
Лицензия

Практическое применение (Часть 6).

6. Руководство по настройке L2TP/IPsec.

SoftEther VPN поддерживает также протокол L2TP/IPsec VPN. Вы можете применить L2TP/IPsec VPN протокол на VPN-сервере. iOS, Android, Mac OS X или другие L2TP/IPsec VPN совместимые клиентские устройства смогут подключаться к SoftEther VPN серверу. Маршрутизаторы Cisco или маршрутизатор другого совместимого поставщика l2tpv3 или EtherIP могут также подключаться к вашему SoftEther VPN серверу. Следующие главы описывают, как настроить L2TP/IPsec VPN.

6.1. Настройка L2TP/IPsec VPN-сервера на SoftEther VPN-сервере

Функция IPsec VPN-сервера по умолчанию отключена. Вы можете легко включить её, выполнив следующие шаги.

Руководство по конфигурации

Настройка VPN-сервера очень проста.

Запустите VPN Server Manager

Запустите SoftEther VPN Server Manager (который работает в Windows, но может подключаться к удаленному SoftEther VPN серверу, работающему в Linux, Mac OS X или другой UNIX). В менеджере серверов вы можете увидеть кнопку «IPsec/L2TP Settings». Нажмите на неё.

Главное окно VPN Server Manager

Появится следующее окно. Все IPSec функции сервера включаются и выключаются здесь.

Окно настроек IPsec/L2TP/EtherIP/L2TPv3

Значение каждой опции следующие:

• Серверная функция L2TP (L2TP поверх IPSec) [Enable L2TP Server Function (L2TP over IPsec)]
Эта функция предназначена для приема VPN-подключений от iPhone, iPad, Android и других смартфонов и встроенного L2TP/IPsec VPN-клиента в Windows или Mac OS X. Включите её, если вы хотите подключаться с одного из этих устройств.

• Серверная функция L2TP (Самостоятельный L2TP без шифрования) [Enable L2TP Server Function (Raw L2TP with No Encryption)]
Некоторые специально настроенные VPN-маршрутизаторы или клиентские устройства имеют только протокол L2TP без IPsec шифрования. Чтобы подключаться с такого устройства, вы должны включить его поддержку этой опцией.

• Серверная функция EtherIP/L2TPv3 поверх IPSec [Enable EtherIP/L2TPv3 over IPsec Server Function]
Если вы хотите создать VPN-соединение типа сеть-сеть (Ethernet мост между удалёнными сетями), включите EtherIP/L2TPv3 поверх IPsec. Вы должны добавить название VPN устройства с другой стороны в список.

• IPSec с предварительно определённым ключом [IPsec Pre-Shared Key]
Предварительный общий ключ IPsec иногда называют «PSK» или «Секретным». В этой строке по умолчанию написано "vpn". Однако, не рекомендуется так оставлять. Вы должны задать актуальный текущий ключ всем VPN пользователям.

Как включить и настроить IPsec с помощью vpncmd ?

Если вы не можете использовать графический интерфейс VPN Server менеджера для Windows, вы можете использовать vpncmd для активации и настройки IPsec функции VPN-сервера с помощью команды IPSecEnable. Чтобы узнать, как это сделать в vpncmd, выполните команду «IPsecEnable?» в строке приглашения vpncmd.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа? (со стандартной аутентификацией по паролю)

Принципиально; когда пользователь VPN хочет установить VPN-соединение с SoftEther VPN сервером с функцией IPsec/L2TP VPN сервера, он должен добавить имя виртуального концентратора назначения в поле Имя пользователя.
Например, предположим, что сервер SoftEther VPN имеет два виртуальных концентратора: «HUB1» и «HUB2». И есть пользователи "yas" на концентраторе "HUB1" и "jiro" на концентраторе "HUB2".
В этом случае укажите имя виртуального концентратора назначения после имени пользователя с добавлением символа «@», например «yas@HUB1» или «jiro@HUB2». Обратите внимание, что и имя пользователя, и имя концентратора не чувствительны к регистру.
Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя виртуального концентратора назначения опущено в имени пользователя, пытающегося войти в систему, то предполагается, что виртуальный концентратор по умолчанию указывается пользователем.
Например, в случае если виртуальный концентратор по умолчанию - «HUB2», пользователь «jiro» на HUB2 может войти в систему с помощью ввода только «jiro». «@HUB2» можно не дописывать.

Как пользователь L2TP/IPsec VPN должен указать свое имя пользователя для входа в систему? (с NT доменной аутентификацией или через RADIUS)

Принципиально; когда пользователь VPN хочет установить VPN-подключение к SoftEther VPN-серверу с функцией IPsec/L2TP VPN-сервера, он должен указать имя виртуального концентратора назначения в поле имени пользователя.
Например, предположим, что SoftEther VPN сервер имеет два виртуальных концентратора: «HUB1» и «HUB2». И есть пользователь "yas" в "HUB1" и "jiro" в "HUB2".
В этом случае укажите имя виртуального концентратора назначения перед именем пользователя с добавлением символа «\», например «HUB1\yas» или «HUB2\jiro». Обратите внимание, что и имя пользователя, и имя концентратора не чувствительны к регистру.
Однако вы можете указать «Виртуальный концентратор по умолчанию» на экране настроек IPsec. Если имя виртуального концентратора назначения в имени пользователя, пытающегося войти в систему, опущено, то предполагается, что виртуальный концентратор по умолчанию указывается пользователем.
Например, в случае если виртуальный концентратор по умолчанию - «HUB2», пользователь «jiro» на HUB2 может войти в систему введя только «jiro». «HUB2\» можно не добавлять в начале.

Аутентификация пользователя с функцией L2TP/IPsec VPN

Вы должны создать пользователя, прежде чем он попытается подключиться к VPN с помощью функции L2TP/IPsec. Нельзя использовать проверку подлинности по сертификату для функции L2TP/IPsec VPN в текущей версии SoftEther VPN сервера. 

Конфигурация для EtherIP/L2TPv3

EtherIP и L2TPv3 предназначены для приема подключений VPN-маршрутизаторов и создания VPN типа "сеть-сеть". Вы можете нажать кнопку "EtherIP/L2tpv3 Detail Settings" в окне конфигурации, чтобы добавить запись клиентского устройства в список. В записи клиентского устройства в списке строка идентификатора фазы 1 ISAKMP (IKE) и соответствующие учетные данные (имя пользователя и пароль пользователя, зарегистрированного на виртуальном концентраторе назначения).
Вы можете указать звездочку (' * ') в качестве шаблона для имени пользователя в записи. Такая запись позволит принимать соединения от любых VPN маршрутизаторов удаленной стороны.

Подробные настройки EtherIP/L2TPv3 сервера

Заметка

Отключите любую функцию IPsec/L2TP на сервере, которая может конфликтовать с функцией IPsec/L2TP SoftEther VPN сервера. Если порты UDP (500, 4500 и 1701) конфликтуют с другими программами, связь IPsec не будет работать.
Например, отключите службу «Маршрутизации и удаленного доступа» на Windows Server.
Если вы включите функцию IPsec/L2TP на SoftEther VPN-сервере, функция IPsec/L2TP в Windows будет временно отключена.

Назначение IP-адреса для подключившихся пользователей L2TP

При использовании L2TP функции IP-адрес VPN-клиента должен назначаться автоматически DHCP-сервером, находящимся в сегменте виртуального концентратора, к которому подключается пользователь.
Следовательно, у вас должен быть хотя бы один работающий DHCP сервер в L2 сегменте, к которому L2TP VPN-клиент пытается подключиться.
IP-адрес будет арендован у DHCP-сервера, и назначен на L2TP VPN сеанс клиента. Шлюз по умолчанию, маска подсети, адрес DNS и адрес WINS также будут применены к L2TP VPN клиенту. Так что, если нет DHCP-сервера, то нет успешных входов.
Вы можете использовать любой DHCP-сервер, который уже существует в вашей локальной сети. Если в локальной сети нет DHCP-серверов, то вы можете использовать функцию виртуального DHCP-сервера SecureNAT, которая реализована в SoftEther VPN-сервере.

Как подключиться через NAT/Firewall?

Если ваш SoftEther VPN-сервер находится за NAT или межсетевым экраном, вы должны открыть порты UDP 500 и 4500. На NAT`е UDP порты 500 и 4500 должны быть проброшены на VPN- сервер. Если какие-либо пакетные фильтры или межсетевые экраны существуют, откройте UDP порты 500 и 4500 на них.

6.2. Настройка L2TP клиента на iPhone/iPad

В этом документе описывается, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который входит в комплект iOS.
В этой инструкции все скриншоты делаются на iOS 6. В других версиях iOS настройка аналогична, однако в пользовательском интерфейсе могут быть незначительные отличия.
Эти скриншоты английской версии iOS. Если вы используете другой язык, вы все равно можете легко его настроить, следуя приведенным ниже инструкциям.
1. Начальные настройки (делается только один раз в первый раз)
На главном экране iOS запустите приложение «Настройки» / «Settings».

Откройте «VPN» в разделе «General» и нажмите «Add VPN Configuration...». 

Будет создан новый профиль L2TP VPN-подключения, и появится окно конфигурации.

В этом окне вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера. Вы также должны ввести имя пользователя, пароль и секрет (предварительный общий ключ).

2. Подключиться к VPN
Вы можете в любой момент запустить VPN-подключение, используя созданный профиль VPN-подключения.
Нажмите на ползунок-кнопку «OFF», чтобы инициировать VPN-соединение.

Пока VPN установлен, вы можете видеть статус и время соединения на экране. Ваш частный IP-адрес в VPN также отображается. IP-адрес «Connect to» показывает «1.0.0.1», но это нормально.

3. Наслаждайтесь VPN связью
Пока VPN-соединение установлено, все соединения будут идти через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.3. Настройка L2TP клиента на Android`е.

В этом документе описывается, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который входит в комплект ОС Android.
По этой инструкции все скриншоты делаются на Android 4.x. Другие версии Android 4.x настраиваются аналогично, однако могут быть незначительные отличия в пользовательском интерфейсе. Некоторые сторонние производители несколько изменяют окна конфигурации Android.
Эти скриншоты приведены для английской версии Android. Если вы используете другой язык, вы все равно можете легко его настроить, следуя приведенным ниже инструкциям.

1. Начальные настройки (делается только один раз в первый раз)

Запустите приложение «Settings»/ «Настройки» на Android.

В категории «Wireless & Networks / Беспроводные сети» откройте «More…/Ещё ...» и нажмите «VPN».

 

Нажмите кнопку «Добавить профиль VPN»/ «Новая сеть VPN» или “+”, чтобы создать новый профиль VPN подключения.

Появится новый экран редактирования настроек VPN-соединения. Введите что-нибудь в поле «Имя» (например, «vpn») и выберите в поле «Тип» «L2TP/IPSec PSK».

Далее вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера. Вы также должны ввести имя пользователя, пароль и секрет (предварительный общий ключ).
Прокрутите экран конфигурации вниз и, если необходимо, установите флажок «Показать дополнительные параметры».

Введите поле «IPSec pre-shared key».
Укажите «0.0.0.0/0» (9 символов) в поле «Forwarding routes» / «Маршруты пересылки». Убедитесь, что вы правильно ввели данные в поле «Маршруты пересылки». Если нет, вы не сможете взаимодействовать через VPN.
После ввода всех данных нажмите кнопку «Сохранить» и сохраните настройки VPN-подключения.

2. Подключите VPN

Вы можете в любой момент запустить VPN-подключение, используя созданный профиль VPN-подключения. Откройте список настроек VPN-подключения и коснитесь настройки, вы увидите следующее на экране.

При первом подключении необходимо ввести «Имя пользователя» и «Пароль». Заполните оба поля «Имя пользователя» и «Пароль» и отметьте «Сохранить информацию об учетной записи». Нажмите «Подключиться», чтобы запустить VPN-подключение.
Пока VPN установлен, вы можете видеть статус и время соединения на экране. Ваш частный IP-адрес VPN также отображается. IP-адрес «Connect to» показывает «1.0.0.1», но так и должно быть.

  

3. Наслаждайтесь VPN связью

Пока VPN-соединение установлено, все соединения будут идти через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.4. Настройка L2TP клиента Windows

Вот инструкция, как подключиться к вашему SoftEther VPN-серверу с помощью L2TP/IPsec VPN-клиента, который встроен в Windows XP, 7, 8, RT, Server 2003, 2008 и 2012.
В этой инструкции мы используем Windows 7. В Windows 8 и Windows 10 настройки похожи, но есть некоторые отличия.

1. Начальные настройки (делается только один раз в первый раз)

Щелкните правой кнопкой мыши по значку сети в правом нижнем углу экрана в Windows и выберите «Открыть центр управления сетями и общим доступом».

Нажмите «Настройка нового подключения или сети» в «Центре общего доступа к сети».

Далее выберите «Подключение к рабочему месту».

Выберите «Использовать моё подключение к Интернету (VPN)».

Вы должны ввести IP-адрес или имя хоста SoftEther VPN-сервера.

Введите имя хоста или IP-адрес в поле «Интернет-адрес» мастера настройки.

После того, как вы введете «Интернет-адрес», установите флажок «Не подключаться сейчас, только выполнить установку для подключения в будущем» в нижней части окна.
Если появится экран запроса имени пользователя и пароля, введите имя пользователя и пароль. Вы должны поставить галочку «Запомнить этот пароль».
Когда появится сообщение «Подключение готово к использованию», нажмите кнопку «Закрыть». Не нажимайте кнопку «Подключиться сейчас».

Перейдите в «Центр управления сетями и общим доступом» и нажмите «Изменение параметров адаптера».

Выберите только что настроенное VPN-соединения из списка. Щелкните правой кнопкой мыши на его значок и выберите «Свойства».

На экране свойств перейдите на вкладку «Безопасность». Выберите «L2TP/IPSec VPN» в раскрывающемся списке «Тип VPN».

Далее нажмите кнопку «Дополнительные параметры».
Появится следующий экран. Нажмите «Для проверки подлинности использовать предварительный ключ» и введите предварительный общий ключ в поле «Ключ».

После завершения вышеуказанной конфигурации дважды нажмите кнопку «ОК», чтобы закрыть экран свойств настройки VPN-подключения. 

2. Подключиться к VPN-серверу

Дважды щелкните на значок созданного VPN-подключения, появится окно как показано ниже.
Поля «Имя пользователя» и «Пароль» должны быть заполнены, если вы поставили галочку сохранения пароля на предыдущих шагах. Если нет, заполните оба поля: «Имя пользователя» и «Пароль».
Нажмите кнопку «Подключиться», чтобы попробовать подключиться к VPN.

Пока пытается установить VPN, на следующем экране отображаются статусы. Если возникает ошибка, подтвердите свои настройки, убедитесь, что тип VPN - «L2TP/IPsec», и правильно указан предварительный общий ключ.

Если VPN-соединение успешно установлено, на экране появится значок VPN-подключения, который появляется при нажатии значка сети в правом нижнем углу экрана Windows. Статус значка VPN-подключения должен быть «Подключен».
Кстати, вы можете инициировать VPN-соединение, просто нажав на этот значок VPN.

3. Наслаждайтесь VPN Связью

Пока VPN-соединение установлено, все соединения будут проходить через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой вы подключились.

6.5. Настройка L2TP клиента Mac OS X

Здесь приведена инструкция по подключению к общедоступному VPN Gate серверу ретрансляции с помощью L2TP/IPsec VPN-клиента, встроенного в Mac OS X.
В этой инструкции все скриншоты делаются на Mac OS X Mountain Lion. В других версиях Mac OS X настройки аналогичны, однако могут быть незначительные отличия в пользовательском интерфейсе.
Мы приводим скриншоты экрана, сделанные в английской версии Mac OS X. Если вы используете ОС с другим языком, вы все равно сможете легко настроить подключение, следуя приведенным ниже инструкциям.

1. Начальные настройки (делается только один раз в первый раз)

Нажмите значок сети в правом верхнем углу экрана. Нажмите «Открыть настройки сети ...» в появившемся меню.

Нажмите кнопку «+» на экране конфигурации сети.

Выберите «VPN» в поле «Interface», «L2TP через IPsec» в поле «VPN Type» и нажмите кнопку «Create».

Будет создана новая конфигурация L2TP VPN, и появится окно конфигурации.

На этом экране вы должны указать либо имя хоста, либо IP-адрес SoftEther VPN-сервера.
После того как вы укажите «Server Address», введите имя пользователя в поле «Account Name», которое находится рядом с полем «Server Address».
Далее нажмите кнопку «Authentication Settings...».

Откроется экран аутентификации. Введите свой пароль в поле «Password». Укажите предварительный общий ключ также в поле «Shared Secret». После их ввода нажмите кнопку «ОК».
После возврата к предыдущему экрану установите флажок «Show VPN status in menu bar» и нажмите кнопку «Advanced...».

Появятся расширенные настройки. Установите флажок «Send all traffic over VPN connection»/«Отправить весь трафик через VPN-соединение» и нажмите кнопку «ОК».
На экране настроек VPN-подключения нажмите кнопку «Connect»/«Подключиться», чтобы запустить VPN-подключение.

2. Запустите VPN-подключение

Вы можете установить новое VPN-подключение нажав кнопку «Connect»/«Подключиться» в любое время. Вы также можете установить VPN-подключение, щелкнув значок VPN в строке меню.
После того, как VPN-подключение будет установлено, окно настройки VPN-подключения станет таким, как показано ниже, а «Status»/«Статус» будет «Connected»/«Подключен». Ваш частный IP-адрес VPN и время подключения будут отображаться в окне.

3. Наслаждайтесь VPN связью

Пока VPN-подключение установлено, все соединения будут проходить через VPN-сервер. Вы можете получить доступ к любым локальным серверам и рабочим станциям в сети, к которой подключились.

6.6. Настройка L2TPv3/IPsec Edge-VPN на маршрутизаторе Cisco

Большинство Cisco маршрутизаторов, выпущенных в 2005 году или позднее, поддерживают протокол L2TPv3 поверх IPsec.
Если вы используете L2TPv3 поверх IPsec, вы можете установить туннель с IPsec шифрованием между маршрутизатором Cisco в филиале и SoftEther VPN сервером в центральном офисе (HQ штаб-квартире).
На этой веб-странице объясняется, как настроить маршрутизатор Cisco 1812 или Cisco 892 для подключения к SoftEther VPN-серверу.
Ниже в разделе [6.7. Почему совместное использование Cisco маршрутизаторов с SoftEther VPN сервером самый лучший вариант?] будет описано преимущество совместного использования SoftEther VPN сервера с Cisco маршрутизаторами.

Маршрутизаторы Cisco

Подготовка

Перед настройкой Cisco маршрутизатора вы должны настроить SoftEther VPN-сервер.

На приведенном выше экране установите флажок «Enable EtherIP / L2TPv3 over IPsec Server Function» и нажмите кнопку «Detail Settings». Появится следующий экран.

В этом окне вы должны указать идентификатор isakmp (IKE) фазы 1 клиента для протокола l2tpv3, имя виртуального концентратора, а также имя пользователя и пароль.
В приведенном выше примере попытки L2TPv3 VPN-подключения от любых маршрутизаторов будут проходить с использованием имени пользователя «l2tpv3», подключения будут к виртуальному концентратору «DEFAULT». (Пользователь "l2tpv3" должен быть создан на виртуальном концентраторе.)
По сути, вы должны указать идентификатор фазы 1 ISAKMP (IKE) Cisco маршрутизатора в поле идентификатора. Тем не менее, вы можете указать «*», шаблон соответствия любым идентификаторам. Это небезопасно, но у нас это просто учебный пример. В долгосрочной рабочей системе вы должны точно указать идентификатор фазы 1 вместо знака «*».

Пример конфигурации маршрутизатора Cisco № 1 (с фиксированным физическим IP-адресом)

Пример окружения:

  • Ethernet порты
    FastEthernet 0: WAN Port (IP Address: 2.3.4.5 / Subnet Mask: 255.255.255.0 / Default GW: 2.3.4.254)
    FastEthernet 1: Bridge Port
     
  • IP-адрес SoftEther VPN сервера к которому подключаемся
    1.2.3.4
     
  • Настройки шифрования isakmp SA
    AES-256 / SHA / DH Group 2 (1024 bit)
     
  • Параметры шифрования IPSec SA
    AES-256 / SHA
     
  • Предварительный общий IPsec ключ
    vpn

Пример конфигурации Cisco-маршрутизатора

conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
ip address 2.3.4.5 255.255.255.0
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

ip route 0.0.0.0 0.0.0.0 2.3.4.254 permanent

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit

crypto isakmp policy 1
encryption aes 256
hash sha
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface FastEthernet 0
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit

Пример конфигурации Cisco маршрутизатора №2 (Физический IP-адрес назначается по DHCP)

Пример окружения:

  • Ethernet порты
    FastEthernet 0: WAN Port (Автоматическая аренда IP-адреса от DHCP-сервера)
    FastEthernet 1: Bridge Port
     
  • IP-адрес SoftEther VPN сервера, к которому подключаемся
    1.2.3.4
     
  • Настройки шифрования isakmp SA
    AES-256 / SHA / DH Group 2 (1024 bit)
     
  • Параметры шифрования IPSec SA
    AES-256 / SHA
     
  • Предварительный общий IPsec ключ
    vpn

Пример конфигурации Cisco-маршрутизатора

conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
ip address dhcp
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface FastEthernet 0
exit

crypto isakmp policy 1
encryption aes 256
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface FastEthernet 0
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit

Пример конфигурации Cisco маршрутизатора №3 (PPPoE соединение через WAN-порт)

Пример окружения:

  • Ethernet порты
    FastEthernet 0: WAN Port (Автоматическое назначение IP-адреса через PPPoE)
    FastEthernet 1: Bridge Port
     
  • IP-адрес SoftEther VPN сервера к которому подключаемся
    1.2.3.4
     
  • Настройки шифрования isakmp SA
    AES-256 / SHA / DH Group 2 (1024 bit)
     
  • Параметры шифрования IPSec SA
    AES-256 / SHA
     
  • Предварительный общий IPsec ключ
    vpn

Пример конфигурации Cisco-маршрутизатора

conf t
ip classless
ip subnet-zero
no ip domain-lookup
no bba-group pppoe global

spanning-tree mode mst
spanning-tree extend system-id
vtp mode transparent

interface FastEthernet 0
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

interface FastEthernet 1
no ip address
duplex auto
speed auto
arp timeout 300
no shutdown
exit

ip routing
ip cef

no cdp run

interface FastEthernet 0
pppoe enable
pppoe-client dial-pool-number 1
exit

interface FastEthernet 1
no ip address
exit

interface Dialer 1
ip address negotiated
encapsulation ppp
dialer pool 1
dialer-group 1
ip mtu 1454
keepalive 15 6
ppp authentication chap callin
ppp chap hostname abc12345@isp.ad.jp
ppp chap password 0 nekojamu
dialer idle-timeout 0
dialer persistent
exit

ip route 0.0.0.0 0.0.0.0 Dialer1 permanent

pseudowire-class L2TPv3
encapsulation l2tpv3
ip local interface Dialer 1
exit

crypto isakmp policy 1
encryption aes 256
hash sha
authentication pre-share
group 2
exit

crypto isakmp key vpn address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 2 periodic
crypto ipsec fragmentation after-encryption
crypto ipsec transform-set IPSEC esp-aes 256 esp-sha-hmac
mode transport
exit

crypto map MAP 1 ipsec-isakmp
set peer 1.2.3.4
set transform-set IPSEC
match address IPSEC_MATCH_RULE
exit

ip access-list extended IPSEC_MATCH_RULE
permit 115 any any
exit

interface Dialer 1
crypto map MAP
exit

interface FastEthernet 1
no cdp enable
xconnect 1.2.3.4 1 pw-class L2TPv3
bridge-group 1
exit

 

6.7. Почему совместное использование Cisco маршрутизаторов с SoftEther VPN сервером самый лучший вариант?

В этом документе объясняется преимущество совместного использования Cisco маршрутизаторов и SoftEther VPN-сервера, а также использования VPN протокола L2TPv3/IPsec для создания VPN-мостов Ethernet между несколькими точками.

С первого взгляда на преимущество

Если только использовать младшие модели Cisco маршрутизаторов:

  • Cisco VPN-маршрутизаторы младших моделей могут строить только L2TPv3 VPN-туннели точка-точка.
  • Если у вас есть три филиала, то вам нужно будет устанавливать три VPN-маршрутизатора в центральном офисе, каждый из них будет использоваться для соединения с одним филиалом.
  • Центральные VPN маршрутизаторы должны знать фиксированный статический глобальный IP-адрес Cisco маршрутизатора в каждом филиале.
    (Каждому филиалу должен быть назначен статический глобальный IP-адрес.)

Cisco маршрутизаторы начального уровня не могут объединить несколько филиалов.

  • Из-за ограничения, заключающегося в том, что младшие модели Cisco маршрутизаторов не поддерживают L2TPv3 VPN-туннели «точка-многоточка», невозможно объединение многоточечных L2TPv3 VPN-туннелей из разных филиалов на один центральный Cisco маршрутизатор младшей модели.

Для агрегирования VPN вы должны приобрести высокопроизводительные Cisco маршрутизаторы

  • Cisco VPN-маршрутизатор старших моделей может делать многоточечные L2TPv3 VPN-туннели.
    Хотя у вас есть три филиала, вам нужен только один маршрутизатор Cisco 7200 или старше в центральном офисе.
    Центральный VPN-маршрутизатор должен знать фиксированные статические глобальные IP-адреса Cisco маршрутизаторов каждого филиала.
    (Каждому филиалу должен быть назначен статический глобальный IP-адрес.)

Лучшее решение с SoftEther VPN Сервер

  • Настройте только один SoftEther VPN-сервер в центральном офисе, тогда младшие модели Cisco VPN-маршрутизаторов каждого филиала смогут установить L2TPv3 туннель на SoftEther VPN-сервер.
  • Стоимость будет дешевле, чем при покупке высокопроизводительного Cisco маршрутизатора, SoftEther серверу не нужно знать кто инициатор VPN-соединения. (Динамический IP-адрес и маршрутизатор за NAT`ом в филиалах допускаются.)

Сравнение решений с Cisco маршрутизаторами

1. Ethernet (L2) site-to-Site VPN только с SoftEther VPN сервером и SoftEther VPN мостом

Преимущества

  • Низкая стоимость.
  • Простая установка
  • Высокая производительность. (VPN Сервер в центре может агрегировать VPN сеансы на скорости более чем 600 Мбит/с.)
  • В центре необходим только один VPN сервер.
  • Допустимы динамические IP-адреса в каждой филиале.

Недостатки

  • Каждый филиал должен иметь сервер, на котором установлен SoftEther VPN мост.  (ПК занимает физическую площадь на полу или столе, имеет большой вес и потребляет большую часть электроэнергии.)
  • Требуется установка операционной системы и SoftEther VPN моста в каждом филиале.

2. Ethernet (L2) VPN типа "сеть-сеть" только с Cisco VPN маршрутизаторами (младших моделей).

Преимущества

  • Каждый Cisco VPN маршрутизатор занимает меньше физического места в каждом филиале, чем серверный ПК с SoftEther VPN мостом.
  • Для Cisco маршрутизаторов не требуется устанавливать операционную систему.

Недостатки

  • Компания должна настроить много VPN-маршрутизаторов в центральном офисе.  (В маршрутизаторах Cisco младших моделей нет функций агрегации многоточечных VPN.)
  • Каждый филиал должен иметь статический глобальный IP-адрес подключения к интернету. (Каждому филиалу должен быть присвоен статический глобальный IP-адрес.)

3. Ethernet (L2) VPN типа “Сеть-сеть” только c Cisco VPN маршрутизаторами (младших и старших моделей.)

Преимущества

  • Каждый Cisco VPN маршрутизатор занимает меньше физического места в каждом филиале, чем серверный ПК с SoftEther VPN мостом.
  • Для маршрутизаторов Cisco не требуется устанавливать операционную систему. В центре необходим только один маршрутизатор высокого класса.

Недостатки

  • Слишком дорого. (Соответствующий набор Cisco маршрутизатора старших моделей будет стоить $30000 или больше.)
  • Конфигурация центрального маршрутизатора слишком сложная. Компания должна нанять эксперта Cisco.
  • Каждый филиал должен иметь статический глобальный IP-адрес для подключения к интернету.

4. Ethernet (L2) VPN типа «сеть-сеть» с SoftEther VPN в центральном отделении и Cisco маршрутизаторами в филиалах.

Преимущества

  • Простая установка
  • Высокая производительность. (Центральный VPN-сервер может агрегировать VPN сеансы со скоростью свыше 600 Мбит/с.)
  • В Центральном офисе необходим только один VPN-сервер.
  • Допустимы динамические IP-адреса в каждом филиале.
  • Каждый маршрутизатор Cisco VPN занимает меньше физического места в каждом филиале, чем серверный ПК с SoftEther VPN мостом.
  • Для Cisco маршрутизаторов в филиалах не требуется установка операционной системы.
  • Тот же самый VPN-сервер может также обслуживать пользователей смартфонов и ПК для удаленного доступа VPN.

Недостатки

  • Нет
  © SoftEther Проект