Include-local-lan

netmask 255.255.255.0

Далее определяется список выполняемых операций (transform – изменений) для установки подлинности данных, конфиденциальности и сжатия^{3}.

crypto ipsec transform-set rtpset esp-des esp-md5-hmac

Создаем динамическую криптокарту rtp с порядковым номером 100, указываем transform-set и RRI (Reverse Route Injection) чтобы вещать маршруты на удаленные сети^{3}.

crypto dynamic-map rtp 100

 set transform-set rtpset

 reverse-route

Применяем метод поиска ключей (IKE-запросы) для установления подлинности и разрешений группы. Настраиваем маршрутизатор для ответов на запросы удаленных клиентов^{4}.

crypto map rtp isakmp authorization list authgroup

crypto map rtp client configuration address respond

Создаем профиль криптокарты:

crypto map rtp 100 ipsec-isakmp dynamic rtp

Ведение журнала подключений:

crypto logging session

Создаем пул адресов для группы VPN-клиентов:

Ip local pool easy-vpn-group-dynpool 10.10.1.2 10.10.1.5

Список доступа для внешнего сетевого интерфейса. Открываем порты для VPN-клиентов: Authentication Header Protocol(AHP), ESP и UPD ISAKMP:

access-list 101 permit udp any host 172.16.1.1 eq non500-isakmp

access-list 101 permit udp any host 172.16.1.1 eq isakmp

access-list 101 permit esp any host 172.16.1.1

access-list 101 permit ahp any host 172.16.1.1

access-list 101 permit icmp any any echo

access-list 101 permit icmp any any echo-reply

access-list 101 deny ip any any log

Не забываем про инспектирование сессий:

ip inspect name FW isakmp

ip inspect name FW tcp

ip inspect name FW udp

ip inspect name FW icmp

Дополнительные протоколы выбираем, исходя из потребностей.

Конфигурирование сетевых интерфейсов: назначаем криптокарту (включить VPN-сервер), список доступа, входящий и исходящий интерфейсы для процесса трансляции сетевых адресов NAT.

interface GigabitEthernet0/1

 ip address 172.16.1.1 255.255.255.0

 ip access-group 101 in

 ip nat outside

 crypto map rtp

ip inspect FW out

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

 ip inspect FW in

exit

Исключаем VPN-трафик из процесса NAT между внутренней подсетью 192.168.1.0/24 и удаленной 10.10.1.0/24 (VPN-клиенты):

access-list 110 deny ip 192.168.1.0 0.0.0.255 10.10.1.0 0.0.0.255

access-list 110 permit ip 192.168.1.0 0.0.0.255 any

route-map ISP permit 10

match ip address 110

ip nat inside source route-map ISP interface gi0/1 overload

С чем пришлось столкнуться. За маршрутизатором А спрятан почтовый сервер, IP: 192.168.1.2. На внешнем DNS-сервере в записи «A» для mx-записи указан IP 172.16.1.1, а на внутреннем DNS указан 192.168.1.2. C внешнего интерфейса настроено перенаправление 25 порта.

ip nat inside source static tcp 192.168.1.2 25 172.16.1.1 25 extendable

Однако VPN-клиенты не могли отправлять почту через внутренний почтовый сервер.

В качестве решения можно использовать дополнительную карту маршрутизации для исключения трафика из процесса NAT, тем самым направить его через туннель.

access-list 111 deny tcp 10.10.1.0 0.0.0.255 host 192.168.1.2 eq smtp

access-list 111 permit tcp any host 172.16.1.1 eq smtp

route-map smtp-for-vpn permit 10

match ip address 111