Question

我面对这个简单的配置，我无法弄明白。场景：使用cisco vpn客户端（或ipad，iphone ..），我可以连接到我公司的VPN。我所知道的是：

VPN GROUP NAME

VPN KEY

VPN服务器公共IP

VPN USERNAME和PASSWORD

cisco vpn客户端创建的虚拟适配器的IP地址：10.0.201.31 255.255.255.0

我的局域网172.23.28.0 255.255.255.224

公司lan 172.19.248.0 255.255.252.0

问题是“如何使用cisco 827路由器为我家的局域网处理这个问题？”

我认为步骤是：

1）配置eth0，dns和dhcp（完成）

2）配置ATM0和Dialer0以获得互联网接入（完成）

3）为我的局域网配置访问列表和ip路由（完成）

4）配置ezvpn参数（完成）

5）使用Ip 10.0.201.31配置虚拟接口（什么样的接口？）

6）设置内部和外部nat为“crypto ipsec client ezvpn MYVPNTUNNELNAME”（接口和方式如何？）

7）配置路由到172.19.248.0 255.255.252.0（如何？）

这是我的配置：

    !
    version 12.3
    no service pad
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname R827
    !
    boot-start-marker
    boot-end-marker
    !
    enable secret 5 cryptedSecret
    enable password notcrypted
    !
    no aaa new-model
    ip subnet-zero
    ip dhcp excluded-address 172.23.28.1
    ip dhcp excluded-address 172.23.28.2
    ip dhcp excluded-address 172.23.28.3
    ip dhcp excluded-address 172.23.28.4
    ip dhcp excluded-address 172.23.28.5
    ip dhcp excluded-address 172.23.28.6
    ip dhcp excluded-address 172.23.28.7
    ip dhcp excluded-address 172.23.28.8
    ip dhcp excluded-address 172.23.28.9
    ip dhcp excluded-address 172.23.28.10
    !
    ip dhcp pool CeccoDhcp
       network 172.23.28.0 255.255.255.224
       default-router 172.23.28.1
       dns-server 8.8.8.8
    !
    !
    ip name-server 8.8.8.8
    ip name-server 8.8.4.4
    !
    !
    !
    !
    !
    !
    crypto ipsec client ezvpn MYVPNTUNNELNAME
     connect auto
     group MYGROUPNAME key MYGROUPKEY
     mode network-extension
     peer PUBLICIPOFVPNSERVER
     username MYUSER password  MYPASSWORD
    !
    !
    !
    interface Ethernet0
     ip address 172.23.28.1 255.255.255.224
     ip nat inside
     ip virtual-reassembly
     hold-queue 100 out
    !
    interface ATM0
     no ip address
     no atm ilmi-keepalive
     bundle-enable
     dsl operating-mode auto
     pvc 8/35
      encapsulation aal5mux ppp dialer
      dialer pool-member 1
     !
    !
    interface Dialer0
     ip address negotiated
     ip nat outside
     ip virtual-reassembly
     encapsulation ppp
     ip tcp header-compression
     dialer pool 1
     dialer-group 1
     no cdp enable
     ppp pap sent-username aliceadsl password 7 15130705072F2A203B3F
    !
    ip classless
    ip route 0.0.0.0 0.0.0.0 Dialer0
    ip http server
    no ip http secure-server
    ip nat inside source list 101 interface Dialer0 overload
    !
    !
    access-list 101 permit ip 172.23.28.0 0.0.0.31 any
    dialer-list 1 protocol ip permit
    !
    !
    control-plane
    !
    !
    line con 0
     stopbits 1
    line vty 0 4
     password MYTERMINALPASSWORD
     login
    !
    scheduler max-task-time 5000
    end

配置结束。

请注意： 如果我添加

    crypto ipsec client ezvpn MYVPNTUNNELNAME

到Dialer0 和

    crypto ipsec client ezvpn MYVPNTUNNELNAME inside

到Ethernet0 我明白了：

    Tunnel name : MYVPNTUNNELNAME 
    Inside interface list: Ethernet0,
    Outside interface: Dialer0
    Current State: READY
    Last Event: CONN_UP

希望有人可以帮助我。提前致谢。切科

Answer 1

好的，我将你的配置与我的一些旧笔记进行了比较。我过去一直在努力打开思科VPN，这让我记忆犹新。

我认为READY状态和CONN_UP最后一个事件意味着它在认证之前就位于那里。这可能是因为你没有告诉871如何处理XAUTH。

尝试将以下内容添加到crypto ipsec client ezvpn部分：

xauth userid mode interactive

那个并且打开调试应该会给你一些工作。让我知道它是怎么回事。

Answer 2

解决!!

感谢James的帮助我将ezvpn conf切换到“模式客户端”并且通过调试我发现问题出在服务器端，导致“存储密码启用”未设置。当公司的网络管理员告诉我“存储密码启用”设置我刚刚做了：

conf t
int Dia0
crypto ipsec client ezvpn MYVPNTUNNELNAME

....一切都很完美： - ）

CISCO路由器827 - VPN ezvpn配置

2 个答案: