Chào các bạn.

Mình dự định setup VPN IPSec dựa trên đường truyền ADSL của VDC, có bạn nào đã cài đặt thử chưa? Mạng của VDC có ngăn chặn gì không? Nếu có thì chia sẻ cho mình chút kinh nghiệm với.

Cám ơn trước nha.

Nguyen

Tôi không biết bạn định kết nối VPN qua ADSL như thế nào, nhưng hiện tại VDC đang cấp địa chỉ IP động cho các điểm truy cập Internet sử dụng dịch vụ ADSL. Như vậy, nếu cả 2 site dùng địa chỉ IP động thì việc thực hiện kết nối VPN site-to-site sẽ không thực hiện được.

ĐứcNM

Đúng vậy

Chào ĐứcNM.

Trong cấu hình của mình, mình VPN Site to Site, trong đó 1 đầu là IP tĩnh (Leased Line) còn đầu kia là ADSL.

Còn vấn đề VDC cấp IP động thì chúng ta có thể Nail-up Connection mà ---> VPN giữa 2 site ADSL với nhau cũng có thể thực hiện được nhưng hơi cực 1 chút, đúng không ?

Vấn đề mình quan tâm là VDC có chặn port IKE 500 hay không thôi ? Mình sử dụng Pre-share Key.

Nguyên

Hi Nguyên,

Giải pháp của bạn có thể triển khai trên một cách an toàn. Đừng lo lắng về các port bị cấm. ;-)

Đây là một cấu hình trích từ link:

http://www.cisco.com/warp/public/707/overload_public.html

trong đó, một đầu kết nối VPN dùng leased line với IP thực. Đầu kia dùng NAT.

Public router:

rp-3640-2b#show running config
Building configuration...

Current configuration:
!
version 12.0
hostname rp-3640-2b
!
ip subnet-zero
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 95.95.95.2
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
crypto map rtp 1 ipsec-isakmp
set peer 95.95.95.2
set transform-set rtpset
match address 115
!
interface Ethernet0/0
ip address 98.98.98.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1
ip address 99.99.99.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
crypto map rtp
!
ip classless
ip route 0.0.0.0 0.0.0.0 99.99.99.1
!
access-list 115 permit ip 98.98.98.0 0.0.0.255 10.103.1.0 0.0.0.255
access-list 115 deny ip 98.98.98.0 0.0.0.255 any
!
end

Private Routers:
rp-3640-6a#show running config
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname rp-3640-6a
!
enable secret 5 $1$S/yK$RE603ZNv8N71GDYDbdMWd0
enable password ww
!
ip subnet-zero

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 99.99.99.2
!
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
crypto map rtp 1 ipsec-isakmp
set peer 99.99.99.2
set transform-set rtpset
match address 115
!

interface Ethernet3/0
ip address 95.95.95.2 255.255.255.0
no ip directed-broadcast
ip nat outside
no ip route-cache
no ip mroute-cache
crypto map rtp
!
interface Ethernet3/2
ip address 10.103.1.75 255.255.255.0
no ip directed-broadcast
ip nat inside

ip nat pool FE30 95.95.95.10 95.95.95.10 netmask 255.255.255.0
ip nat inside source route-map nonat pool FE30 overload
ip classless
ip route 0.0.0.0 0.0.0.0 95.95.95.1
ip route 171.68.120.0 255.255.255.0 10.103.1.1
no ip http server
!
access-list 110 deny ip 10.103.1.0 0.0.0.255 98.98.98.0 0.0.0.255
access-list 110 permit ip 10.103.1.0 0.0.0.255 any
access-list 115 permit ip 10.103.1.0 0.0.0.255 98.98.98.0 0.0.0.255
access-list 115 deny ip 10.103.1.0 0.0.0.255 any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
route-map nonat permit 10
match ip address 110
!
end

Chú ý là trong cấu hình của client, bạn sẽ không NATed những VPN traffic.

Chúc thành công,

Chào ĐứcNM.

Trong cấu hình của mình, mình VPN Site to Site, trong đó 1 đầu là IP tĩnh (Leased Line) còn đầu kia là ADSL.

Còn vấn đề VDC cấp IP động thì chúng ta có thể Nail-up Connection mà ---> VPN giữa 2 site ADSL với nhau cũng có thể thực hiện được nhưng hơi cực 1 chút, đúng không ?

Vấn đề mình quan tâm là VDC có chặn port IKE 500 hay không thôi ? Mình sử dụng Pre-share Key.

Nguyên


Hi Nguyen,

Nguyên Có thể nói rõ hơn về solution này được không? khi VDC cấp IP động không cấp hai IP thực. Mình rất quan tâm về solution này.

thanks.

Hi Violeteyes

VDC cung cấp dịch vụ ADSL dùng Protocol PPPoE để Authentication và Accounting, bản thân PPPoE có 1 feature là Idle Time-out -----> khi user không truy cập Internet sau khoảng thời gian time-out, session PPPoE se disconnect ----> không phát sinh các traffic từ user ----> không tính cước (tính cước theo dung lượng).

Mổi lần session PPPoE được open ---> VDC sẽ gán 1 IP cho ADSL CPE---> chúng ta có IP động.

Để có được IP tĩnh, chúng ta có thể Nail-up session PPPoE bằng cách CPE sẽ gởi các Keep Alive để giử session PPPoE không bị disconnect. Như vậy chúng ta đã có 1 IP tĩnh roi phải không. Tuy nhiên nếu CPE bị mất nguồn hay vì 1 lý do gì đó Session PPPoE bị disconnect thi IP chúng ta sẽ bị mất. Hiiii. Còn Solution VPN thì Nguyên đang thực hiện vì đang chờ Line ADSL để Test, khi nào xong sẽ alo cho bạn nhé

Chúc vui

Nguyên

hi`hi`hi`.

:D cứ khoảng 10 tiếng bị disconect một lần, lúc đó ta .... ngồi cấu hình lại Router :D.

Nail-up connection cũng chưa chắc giữ được PPPoE đâu bởi vì nếu DHCP server tại VDC expire thì coi như địa chỉ Ip cũng bị gán lại

Tôi đã cấu hình thử rồi, mà không được đây ! Khi kết nối đến VPN server thì báo lỗi : 800: VPN Server unreachable! Chán quá !
Cấu hình của tôi như sau :

VPN Server---->ISA server ---->ADSL conexant ---->Internet <------VPN client
Trong ISA server tôi đã mở cổng 1723 (PPTP) và 47 rồi
Trong modem : Vitual Server khai báo như sau :

Public port Private port Host IP
====================================
1723 1723 10.0.0.1
47 47 10.0.0.1

10.0.0.1 là địa chỉ của NIC gắn với modem ADSL (có đia chỉ 10.0.0.2)

Các bạn giúp tôi với, tôi phải cấu hình thế nào đây ???

Xin cảm ơn nhiều !

Chào ĐứcNM.

Trong cấu hình của mình, mình VPN Site to Site, trong đó 1 đầu là IP tĩnh (Leased Line) còn đầu kia là ADSL.

Còn vấn đề VDC cấp IP động thì chúng ta có thể Nail-up Connection mà ---> VPN giữa 2 site ADSL với nhau cũng có thể thực hiện được nhưng hơi cực 1 chút, đúng không ?

Vấn đề mình quan tâm là VDC có chặn port IKE 500 hay không thôi ? Mình sử dụng Pre-share Key.

Nguyên

Xin chào,

Không nên dùng cấu hình VPN với đầu VPN gateway là Dynamic IP, tại sao?
Khi khai báo một VPN gateway thì nó sẽ bind tất tần tật từ các thông số ipsec, SKIP, IKE, certificate... vào External IP của VPN gateway, như vậy khi IP này bị thay đổi thì ta phải làm lại quá trình này từ đầu, cũng có thể hiểu việc này tương tự như việc mỗi khi bật cái PC để làm việc thì ta lại phải cài cái OS và các softwares lên để cho nó chạy, quá nản phải không? Vả lại nếu ta chọn VPN dùng certificate thì cứ mỗi lần IP của VPN gateway bị change thì xem như ta phải làm lại từ con số zero cho cả hai đầu.

Tôi đã cấu hình thử rồi, mà không được đây ! Khi kết nối đến VPN server thì báo lỗi : 800: VPN Server unreachable! Chán quá !
Cấu hình của tôi như sau :

VPN Server---->ISA server ---->ADSL conexant ---->Internet <------VPN client
Trong ISA server tôi đã mở cổng 1723 (PPTP) và 47 rồi
Trong modem : Vitual Server khai báo như sau :

Public port Private port Host IP
====================================
1723 1723 10.0.0.1
47 47 10.0.0.1

10.0.0.1 là địa chỉ của NIC gắn với modem ADSL (có đia chỉ 10.0.0.2)

Các bạn giúp tôi với, tôi phải cấu hình thế nào đây ???

Xin cảm ơn nhiều !

Hi

bạn mở thêm các port 50, 51 và 500 nhé.

thân