Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Сетевое оборудование (http://forum.oszone.net/forumdisplay.php?f=55)
-   -   PPTP Server on Cisco 851 (http://forum.oszone.net/showthread.php?t=106903)

Gudy 13-05-2008 17:46 801606
PPTP Server on Cisco 851
 
День добрый, коллеги.

Имеется следующая трабла.

Есть маленькая локалка 10.15.0.0/24
В ней имеется Cisco 851 она же есть шлюз, она же несёт на себе роль DHCP.

Код:
Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(4)T8, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2007 by Cisco Systems, Inc.
Compiled Sat 11-Aug-07 03:29 by khuie

ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE

Но вот возникла необходимость поднять на нём PPTP сервер, нашёл мануал поднял так:

Код:
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp vpn local
aaa authorization console
aaa authorization exec default local
aaa authorization network vpn local
!

ip subnet-zero
ip dhcp excluded-address 10.15.0.1
ip dhcp excluded-address 10.15.0.2
!
ip dhcp pool DHCPPOOL
  import all
  network 10.15.0.0 255.255.255.0
  default-router 10.15.0.1
  dns-server 10.15.0.2 10.15.0.1 195.112.*.*
  domain-name wr
  lease 2
!
ip cef
ip domain name NAMETHERE
ip name-server 195.112.*.*
ip name-server 195.112.*.*
vpdn enable

username vpn password 0 test
username vpn aaa attribute list vpn



interface FastEthernet4
 ip address *.*.*.* 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface Virtual-Template1
 ip unnumbered Vlan1
 peer default ip address dhcp-pool DHCPPOOL
 ppp authentication ms-chap
!
interface Vlan1
 ip address 10.15.0.1 255.255.255.0
 ip broadcast-address 10.15.0.255
 ip nat inside
 ip virtual-reassembly
!
ip default-gateway *.*.*.*
ip classless
ip route 0.0.0.0 0.0.0.0 *.*.*.*

Впн подключается, но имеется такая проблема:
Код:
testpptp - PPP адаптер:

        DNS-суффикс этого подключения . . :
        Описание  . . . . . . . . . . . . : WAN (PPP/SLIP) Interface
        Физический адрес. . . . . . . . . : 00-53-45-00-00-00
        Dhcp включен. . . . . . . . . . . : нет
        IP-адрес  . . . . . . . . . . . . : 10.15.0.19
        Маска подсети . . . . . . . . . . : 255.255.255.255
        Основной шлюз . . . . . . . . . . :
        DNS-серверы . . . . . . . . . . . : 195.112.*.*
                                                    195.112.*.*
Тоесть АДРЕС назначается из правильного пула, а вот остальное (DNS, GW, MASK) назначается не пойми как.
Почему? В чём не прав? куда копать?

kim-aa 14-05-2008 11:23 802243
Цитата:
Цитата Gudy
ip name-server 195.112.*.*
ip name-server 195.112.*.* »
DNS - назначается как задали в конфигурации.

Маска тоже абсолютно верная, для соединения точка-точка.

Касаемо шлюза,
- обычно фигурирует тот же адрес что и адрес интерфейса.

Что будет если ничего не поставить в данном случае точно не помню, но в маршрутизаторах Cisco на последовательных интерфейсах официально встречаются и безшлюзовые конфигурации.

Проверьте работоспособность при помощи tracert

Цитата:
Цитата Gudy
Dhcp включен. . . . . . . . . . . : нет »
Кстати, что это, эээ?

Gudy 17-05-2008 16:02 804933
Цитата:
Цитата kim-aa
Кстати, что это, эээ? »
Меня тоже мучает этот вопрос.

Спасибо, проблема разрешилась.

Но назрел другой вопрос:
Очень не хочется заводить каждого удалённого пользователя на Cisco. Можно как вариант поднять Radius, но интересует может ли Cisco аутентифицировать пользователей через AD. Ибо AD всё равно стоит и работает.

Спасибо.

kim-aa 19-05-2008 12:15 806007
Цитата:
Цитата Gudy
Можно как вариант поднять Radius, но интересует может ли Cisco аутентифицировать пользователей через AD. Ибо AD всё равно стоит и работает. »
Можно, но и в данном случае придется подымать Radius, но от MS, IAS - если мне память не изменяет.

Там будет хитропопая конструкция механизма аутентификации

PPTP (MS) -> IAS -> AD

По, моему так.

Но мы реализовывали через TACACs, а RADIUS полистали лишь теорию, а на практике, лучше, поискать на сайте Cisco или в UserGuide модели маршрутизатора, точнее его прошивки.

за аутентификацию отвечают команды подмножества AAA

Посмотрите

show aaa-server

Gudy 24-05-2008 18:23 809951
да, я уже нашёл IAS осталось всё это теперь сдружить.

Gudy 07-06-2008 00:11 820458
Не дружится.
718 ошибка.
IAS запросы принимает, пишет логи, но формат их жесток и не читаем.


Время: 22:44.

Время: 22:44.
© OSzone.net 2001-