Hi everybody,

Minh có mô hình mạng như sau, nhờ các bạn tư vấn giúp :

(net inside) ----- Win2k server ----- Pix Firewall ----- Router (Leased line)----- INTERNET ----- client (ADSL)
Cho hỏi có thể làm/cấu hình VPN trên mạng này được không ? Nếu được xin tư vấn giúp tôi những phương pháp (step by step) thực tế sử dụng.

Xin cảm ơn.
Kevin Truong.

Hi

Bạn có thể dùng một software VPN Client để thực hiện việc tạo VPN. Thông thường thì các Firewall đều cho kết mối VPN và bạn cũng nên dùng các VPN Client của cùng hãng của Firewall đó để thiết lập VPN hoặc các VPN client khác được recommend bời Hãng sản xuất Firewall. :D

Than

Thanh Hai
4R Group

hi

bạn dùng router loại gì để đấu nối cho ADSL? Router này có hỗ trợ VPN không?

Cám ơn

Hi Admin,

Mình đang sử dụng Router Ciso 2610, PIX 501, có hổ trợ VPN + NAT trên cả 2 thiết bị. Vì là Router dùng chung cho tòa nhà (nơi mình đang công tác) nên mình chỉ control PIX được mà thôi. Nếu có phương pháp nào khả thi, mong giúp đỡ.

Xin cám ơn.
Kevin

hi

Như vậy PIX của bạn có được cấp một IP thực không?

Cám ơn,

Here is a sample VPN configs:

I have a number of sites connected via ADSL to an ISP with ISDN dial for backup. These sites are interconnected via IPSec tunnels in a hub and spoke topology.

The config on one spoke router is currently something like this. This config is the one that is the closest to working.
==========================

version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname ipsec-test
!
boot system flash c1700-k9o3sy7-mz.122-8.T5.bin
enable password xyzzy
!
memory-size iomem 15
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
ip subnet-zero
!
!
ip name-server 172.16.250.17
ip name-server 172.16.250.27
!
ip audit notify log
ip audit po max-events 100
ip cef
!
isdn switch-type basic-net3
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key abc123 address 172.16.100.223
crypto isakmp key abc123 address 172.16.250.163
!
!
crypto ipsec transform-set trans-ipsec esp-3des esp-sha-hmac
!
crypto map ipsec local-address Dialer0
crypto map ipsec 40 ipsec-isakmp
set peer 172.16.100.223
set peer 172.16.250.163
set security-association lifetime seconds 300
set transform-set trans-ipsec
match address 111
!
!
crypto map ipsec-BACKUP local-address Dialer1
crypto map ipsec-BACKUP 40 ipsec-isakmp
set peer 172.16.100.223
set peer 172.16.250.163
set security-association lifetime seconds 300
set transform-set trans-ipsec
match address 111
!
interface ATM0/0
backup delay 5 10
backup interface Dialer1
no ip address
no ip mroute-cache
no atm ilmi-keepalive
pvc 0/38
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
dsl operating-mode auto
dsl enable-training-log
no fair-queue
hold-queue 208 in
!
interface FastEthernet0/0
ip address 10.29.9.10 255.255.255.0
ip nat inside
!
interface BRI1/0
no ip address
encapsulation ppp
dialer pool-member 2
isdn switch-type basic-net3
ppp multilink
!
interface Dialer0
description ISP
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
encapsulation ppp
no ip split-horizon
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname ipsec-example@myisp.net
ppp chap password xxxxxxx
ppp multilink
crypto map ipsec
!
interface Dialer1
description ISP
ip address negotiated
no ip proxy-arp
encapsulation ppp
no ip split-horizon
dialer pool 2
dialer remote-name Cisco1
dialer idle-timeout 300
dialer string 084512345678 class DialClass
dialer hold-queue 10
dialer load-threshold 50 either
dialer-group 2
ppp authentication chap pap callin
ppp chap hostname ipsec-example
ppp chap password xyxyxyx
ppp multilink
crypto map ipsec-BACKUP
!
ip nat inside source route-map main interface Dialer0 overload
ip nat inside source route-map secondary interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.250.99
ip route 0.0.0.0 0.0.0.0 Dialer0 128
ip route 172.16.250.99 255.255.255.255 Dialer1
no ip http server
ip pim bidir-enable
!
!
ccess-list 110 deny ip 10.29.9.0 0.0.0.255 10.29.0.0 0.0.0.255
access-list 110 permit ip 10.29.0.0 0.0.255.255 any
access-list 111 permit ip 10.29.9.0 0.0.0.255 10.29.0.0 0.0.0.255
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
!
route-map main permit 10
match ip address 110
match interface Dialer0
!
route-map secondary permit 10
match ip address 110
match interface Dialer1
!
end