—просите про Asterisk в Telegram - чате

ћерион Ќетворкс

3 минуты чтени€

PPTP (Point to Point Protocol), или, если дословно перевести, тунельный протокол типа точка-точка, €вл€етс€ простым и быстрым решением по предоставлению удаленного доступа дл€ пользователей. ƒанный протокол нативно поддерживаетс€ на операционных системах Windows XP, 7, 8, и так далее, что делает его идеальным решением дл€ большинства офисных работников Ц он, к тому же, не требует установки никакого дополнительного ѕќ.

√лавное, что нужно понимать: PPTP не обладает сильным шифрованием и прочими Ђфишкамиї, которые предлагают IPSEC или SSL VPN решени€. Ќесмотр€ на то, что MPPE (Microsoft Point-to-Point Encryption), поддерживаемый маршрутизаторами Cisco предоставл€ет довольно высокую степень защищенности, все равно не должен использоватьс€ в сценари€х, когда предоставл€етс€ доступ к ценной и/или конфиденциальной информации.

 ак и в других решени€х, предоставл€ющих удаленный доступ, удаленный пользователь может использовать PPTP дл€ доступа к корпоративной сети и, по сути, он будет подключен пр€мо к внутренней подсети.

PPTP всегда настраиваетс€ между сервером (маршрутизатором Cisco) и клиентом (рабочей станцией Windows). PPTP поддерживаетс€ маршрутизаторами Cisco, а ћ—Ё ASA, в свою очередь, не поддерживают терминирование туннел€ на самом фаерволле.

ѕроцесс настройки клиента легко ищетс€ в интернете, данна€ же стать€ описывает настройку маршрутизатора.

—ценарий и схема сети

¬ данной статье у нас предполагаетс€ следующий сценарий: к корпоративной сети принадлежит несколько филиалов, соединенных через VPN (к примеру, MPLS VPN, IPSEC VPN и так далее). √лавный офис подключен к интернету и мы реализиуем простой и быстрый способ подключени€ удаленных пользователей к данной сети.

ƒопустим, интерфейс VLAN 1 (подсеть 10.10.10.0/24) маршрутизируетс€ в основной сети. ≈сли мы Ђподключимї удаленных пользователей через PPTP туннель к данному VLAN и назначим адрес из диапазона 10.10.10.0/24, то, логично, что у них по€витс€ доступ ко всем сетевым ресурсам.

“опологи€ сети

¬ данном случае аутентификаци€ будет реализована через локальные аккаунты на маршрутизаторе Cisco. ќднако, в соответствии с рекомендаци€ми по безопасности, мы рекомендуем использовать внешний RADIUS cервер. ќборудованием в нашем гипотетическом случае €вл€етс€ 867VAE-K9 с образом c860vae-advsecurityk9-mz.152-4.M3.bin.

PPTP всегда настраиваетс€ между сервером (маршрутизатором Cisco) и клиентом (рабочей станцией Windows). PPTP поддерживаетс€ маршрутизаторами Cisco, а ћ—Ё ASA, в свою очередь, не поддерживают терминирование туннел€ на самом фаерволле.


Ќастройка маршрутизатора

Ќиже приведен пример конфига, с комментари€ми почти после каждой команды.

vpdn enable  //¬ключаем VDPN (Virtual Private Dialup Network)
vpdn source-ip 1.1.1.1 //адрес используемый дл€ вход€щих подключений
vpdn-group MerioNet //название группы
accept-dialin //разрешает маршрутизатору принимать подключение
protocol pptp //используемый протокол
virtual-template 1 //интерфейс, используемый дл€ доступа
interface Virtual-Template1 //интерфейс используемый дл€ клонировани€ 
!описание  PPTP доступа
ip unnumbered Vlan1 //использование адреса, настроенного дл€ VLAN 1
ip virtual-reassembly in
load-interval 30
peer default ip address pool PPTP-Pool //назначение сетевого адреса дл€ клиентов в диапазоне, указанном в PPTP- 
no keepalive
ppp encrypt mppe auto //»спользование MPPE шифровани€ с автоматически указанной силой шифровани€ (40, 56 или 128 бит) 
ppp authentication ms-chap ms-chap-v2 //настройка разрешенных способов методов аутентификации
ip local pool PPTP-Pool 10.10.10.90 10.10.10.100 //диапазон IP-адресов, которые могут получать клиенты
username RemoteUserMerionet password merionet //создание локального парол€ и логина дл€ подключени€.

ƒалее, обратите внимание на настройку интерфейсов (очевидные и всем известные команды):

 interface GigabitEthernet1
description WAN Interface
ip address 1.1.1.1 255.255.255.252
interface Vlan1
description LAN Network
ip address 10.10.10.1 255.255.255.0

ƒалее, попробуйте подключить какой-нибудь клиент и проверьте работоспособность PPTP командами:

show users
show vpdn

ѕолезна ли ¬ам эта стать€?


Ёти статьи могут быть вам интересны: