Usando um roteador Cisco como um cliente L2TP?

7

Eu tenho um cliente que, por várias razões, possui um roteador Cisco atrás de uma conexão ADSL NAT. Eles desejam criar uma VPN para um de nossos pontos de presença e as únicas opções que oferecemos são site a site ou discagem L2TP.

É possível configurar o Cisco (3925) para conectar via L2TP ao nosso PoP? O servidor L2TP é um par de Fortigate 100Ds e a configuração permite que iPads, laptops, etc. disquem sem problemas, protegidos pelo IPSEC.

Estou testando isso no meu escritório com um 1921, as poucas referências que encontrei indicam que é necessário o uso de uma configuração de pseudo-fio, mas estou tendo problemas para fazer isso e onde o IPSEC se encaixa.

atp
fonte

Respostas:

8

Claro, certamente é possível. Basicamente, você precisará configurar um mapa criptográfico para capturar e criptografar o tráfego L2TP. A configuração psuedowire \ L2TP pode ser anexada a uma interface Virtual-PPP. Aqui está um trecho de configuração que deve ajudá-lo.

! Basic ISAKMP\IPSec configuration, tweak as needed. 
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 4000
!
crypto isakmp key *preshared key* address 1.2.3.4
!
crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
 mode transport
!
! Crypto map that will catch our L2TP Traffic defined in the L2TP_TRAFFIC ACL.
!
crypto map L2TP_VPN 10 ipsec-isakmp
 set peer 1.2.3.4
 set transform-set ESP-AES256-SHA1
 match address L2TP_TRAFFIC
!
! Match the L2TP traffic.
!
ip access-list extended L2TP_TRAFFIC
 permit udp host *Outbound IP* eq 1701 host 1.2.3.4 eq 1701
!
! Apply the crypto map to the outbound\internet facing interface. 
!
interface FastEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 crypto map L2TP_VPN
!
! Define the psuedowire class that will speak L2TP and the source interface. 
!
pseudowire-class L2TP_PW
 encapsulation l2tpv2
 ip local interface FastEthernet0/0
!
! Create Virtual-PPP interface to bind the psuedowire class to. 
!
interface Virtual-PPP1
 description L2TP Tunnel
 ip address negotiated
 ppp chap hostname *User Name*
 ppp chap password *Password*
 ppp ipcp address accept
 pseudowire 1.2.3.4 1 pw-class L2TP_PW

Você também precisará adicionar NAT e \ ou roteamento relevantes para o seu cenário.

Josh Sawyers
fonte