Вы здесь

Cisco L2TP Client

Подключение к ISP по L2TP.
l2tp_maps.jpg

В нашем случае ISP - beeline
router - cisco 2821
LAN - Gi0/0

Для подключения к ISP будем использовать порт L2 switch HWIC-4ESW.

WAN - Fa0/1/3

Так как ISP подключаем через L2-switch, нам необходимо настроить VLAN, присвоить IP и включить нужные порты в этот VLAN.

interface Vlan2 description ISP ip dhcp client update dns ip address dhcp ip nat outside ip virtual-reassembly in load-interval 30

Т.е. IP и DNS получаем от провайдера.

Настраиваем WAN:

interface FastEthernet0/1/3 description ISP switchport access vlan 2 no ip address no cdp enable

Создаем класс и настраиваем pseudowire:

l2tp-class beeline pseudowire-class class1 encapsulation l2tpv2 protocol l2tpv2 beeline ip local interface Vlan2

Создаем туннельный интерфейс Virtual-PPP1 :

interface Virtual-PPP1 description Beeline_VPN ip address negotiated ip mtu 1454 ip nat outside no ip virtual-reassembly in ip tcp adjust-mss 1414 ppp chap hostname login ppp chap password 7 password pseudowire 85.21.0.102 10 pw-class class1

Где 85.21.0.102 L2tp-сервер beeline.

Не забываем на LAN интерфейсе указать:

interface GigabitEthernet0/0 ip nat inside

Настраиваем acl, NAT и прописываем маршруты

ip access-list extended acl_ISP permit ip 192.168.5.0 0.0.0.255 any ip nat inside source list acl_ISP interface Virtual-PPP1 overload ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip route 85.21.0.95 255.255.255.0 dhcp

При проблем с подключением, полезно включить debug:

terminal monitor debug ppp authentication debug ppp negotiation

В итоге, если логин/пароль правильные мы получим:
l2tp_eth.jpg

Итоговая конфигурация:

interface GigabitEthernet0/0 ip address 192.168.5.254 255.255.255.0 ip nat inside ip virtual-reassembly in load-interval 30 duplex auto speed auto interface Vlan2 description ISP ip dhcp client update dns ip address dhcp ip nat outside ip virtual-reassembly in load-interval 30 interface FastEthernet0/1/0 description ISP switchport access vlan 2 no ip address no cdp enable l2tp-class beeline pseudowire-class class1 encapsulation l2tpv2 protocol l2tpv2 beeline ip local interface Vlan2 interface Virtual-PPP1 ip address negotiated ip mtu 1454 ip nat outside no ip virtual-reassembly in ip tcp adjust-mss 1414 ppp chap hostname login ppp chap password 0 password pseudowire 85.21.0.102 10 pw-class class1 ip access-list extended acl_ISP permit ip 192.168.5.0 0.0.0.255 any ip nat inside source list acl_ISP interface Virtual-PPP1 overload ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 ip route 85.21.0.95 255.255.255.255 dhcp

Комментарии

Ситуевина такая: данная конфига была списана на cisco 1841 с ios 15.1(4)M8 (естественно не бездумно скопипашена, а с адаптацией под местные реалии :) ). Начальный этап соединения устанавливается корректно, машина получает айпи внутренней сети билайна, пингует указанный vpn сервер, пингует адреса серой сети. Но выхода наружу и пинга белых адресов билайна нету. Траблшутинг затрудняется тем что дебаг не сообщает вообще ничего. Вопрос: можете ли подсказать в какой стороне надо искать решение?
P.S Билайн казахстанский.

Обычно проблема в маршрутах. Подключите Windows машину, подключитесь к билайну и посмотрите маршруты. После этого сравните маршруты на 1841

Маршруты проверял, вроде совпадает и должно работать. Есть сомнения насчет успешности последнего степа VPN. В L2tp я откровенно не силён.

Хотелось бы понять как узнать что задавать в параметрах IPSec и Фазы 1 и каким должен быть трансформ-сет. Билайн эти данные давать не хочет.

Кажется нашел проблему.
Outbound cdp packet dropped, NCP not negotiated
Можете подсказать в чем суть?

Спасибо за статью. Не думал, что понадобится настраивать l2tp на циске, но неисповедимы пути..)
Буду пробовать настраивать используя вашу статью.

Авторам огромное спасибо за статью. На случай - если вдруг кто-то залип как я - с портами L3 это работать не будет, нужна свитчевая плата. Мне, дауну, не хватило тяму сразу понять что l2tp должен реализовываться на l2 портах. :D

а можно подробнее - что не будет работать с L3?? предстоит настраивать самостоятельно l2tp на казахстанский билайн на аналогичной железке и хочется избежать граблей

Пока, правда, еще не всё идеально. Но не боги горшки обжигают, думаю в процессе юзания шлифанется.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image