iramax

Персональный IT-блог

• Главная

Cisco L2TP/IPsec client to UniFi

Возникла задача — нужно получить IP-адрес одной страны в сети другой страны для различных нужд.

Это может пригодиться для предоставления различных сервисов, таких как, например, просмотр российских ТВ-каналов в стране, где такое вещание не ведется, или же есть какие-либо другие ограничения по geo-ip.

И так, в компании работает оборудование UniFi. На удаленном объекте имеется ненужная Cisco 1921, которую решено задействовать для целей подключения PPTP VPN-туннеля к UniFi USG. Скорости и безопасности стало понемногу не хватать, в итоге подключение по PPTP-VPN к USG (UniFi) решено было переделать на L2TP/IPsec, так же к UniFi USG

service internal

pseudowire-class L2TP
encapsulation l2tpv2
ip local interface GigabitEthernet0/0

crypto isakmp policy 20
encr aes
authentication pre-share
group 14

crypto isakmp key VerySecretKey address YYY.YYY.YYY.30

crypto ipsec transform-set ESP-AES-SHA1 esp-aes esp-sha-hmac
mode transport

crypto map L2TP_VPN 10 ipsec-isakmp
set peer YYY.YYY.YYY.30
set transform-set ESP-AES-SHA1
match address L2TP_TRAFFIC

interface GigabitEthernet0/0
description -= WAN =-
ip address XXX.XXX.XXX.10 255.255.255.0
crypto map L2TP_VPN

interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside

interface Virtual-PPP1
description -= L2TP Tunnel =-
ip address negotiated
ip nat outside
ip policy route-map clear-df
ppp eap refuse
ppp chap hostname USERNAME
ppp chap password USERPASS
ppp ipcp address accept
no cdp enable
pseudowire YYY.YYY.YYY.30 1 encapsulation l2tpv2 pw-class L2TP

ip nat inside source list NAT_ACL interface Virtual-PPP1 overload
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1
ip route YYY.YYY.YYY.30 255.255.255.255 XXX.XXX.XXX.1

ip access-list standard NAT_ACL
permit 192.168.0.0 0.0.0.255

ip access-list extended L2TP_TRAFFIC
permit udp host XXX.XXX.XXX.10 eq 1701 host YYY.YYY.YYY.30 eq 1701

route-map clear-df permit 10
match ip address 101
set ip df 0

access-list 101 permit tcp any any

В итоге, скорость выше чем у PPTP-VPN подключения, работает через NAT, трафик надежно зашифрован.

XXX.XXX.XXX.10 — наш WAN адрес.

YYY.YYY.YYY.30 — адрес удаленного PPTP-VPN-сервера, работающего на UniFi

08.06.2018 · XDriver · Комментариев нет
Метки: cisco, IPsec, L2TP, UNIFI, USG, VPN · Рубрики: Cisco

• « Назад
• Вперед »

• Рубрики

  • Cisco
  • Linux
  • Windows
  • Без рубрики
  • Интересно
  • Радар-детекторы
  • Туризм
  • Юмор

• Архив блога

  • Апрель 2022
  • Март 2020
  • Декабрь 2019
  • Июнь 2018
  • Сентябрь 2017
  • Май 2017
  • Апрель 2017
  • Май 2016
  • Январь 2016
  • Ноябрь 2015
  • Июль 2015
  • Апрель 2015
  • Декабрь 2014
  • Ноябрь 2014
  • Февраль 2014
  • Январь 2014
  • Август 2013
  • Июль 2013
  • Июнь 2013

• Управление

  • Войти
  • Статьи в RSS
  • Комментарии в RSS