ESR-series Documentation 1.24
Дерево страниц

Сравнение версий

Старая версия 9

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

Шаг

Описание

Команда

Ключи

1

Создать профиль PPTP-сервера.

esr(config)# remote-access pptp <NAME>

<NAME> – имя профиля PPTP-сервера, задаётся строкой до 31 символа.

2

Указать описание конфигурируемого сервера (не обязательно).

esr(config-pptp-server)# description <DESCRIPTION>

<DESCRIPTION> – описание PPTP-сервера, задаётся строкой до 255 символов.

3

Указать IP-адрес, который должен обрабатывать PPTP-сервер.

esr(config-pptp-server)# outside-address
{ object-group  <OBJ-GROUP-NETWORK-NAME> |
ip-address <ADDR> | interface { <IF> | <TUN> } }

<OBJ-GROUP-NETWORK-NAME> – имя профиля, содержащего IP-адрес, который должен слушать PPTP-сервер, задаётся строкой до 31 символа;

<ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<IF> – тип и идентификатор интерфейса маршрутизатора;

<TUN> – тип и номер туннеля маршрутизатора.

4

Указать IP-адрес локального шлюза.

esr(config-pptp-server)# local-address
{ object-group <OBJ-GROUP-NETWORK-NAME > |
ip-address <ADDR> }

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, который содержит IP-адрес локального шлюза, задаётся строкой до 31 символа;

<ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

5

Указать список IP-адресов, из которого PPTP выдаются динамические IP-адреса удаленным пользователям.

esr(config-pptp-server)# remote-address
{ object-group <OBJ-GROUP-NETWORK-NAME > |
address-range <FROM-ADDR>-<TO-ADDR> }

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, который содержит список IP-адресов удаленных пользователей, задаётся строкой до 31 символа;

<FROM-ADDR> – начальный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];

<TO-ADDR> – конечный IP-адрес диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

6

Выбрать режим аутентификации PPTP-клиентов.

esr(config-pptp-server)# authentication mode
{ local | radius }

  • local – аутентификация пользователя по локальной базе.
  • radius – аутентификация пользователя по базе RADIUS-сервера. На маршрутизаторе должен быть сконфигурирован механизм взаимодействия с RADIUS-сервером см. раздел Алгоритм настройки AAA по протоколу RADIUS.
7Разрешить необходимые методы аутентификации удаленных пользователей.

esr(config-pptp-server)# authentication method <METHOD>

<METHOD> – метод аутентификации, принимает значения [chap, mschap, mschap-v2, eap, pap].

По умолчанию разрешен только chap.

8

Указать имя пользователя (при использовании локальной аутентификации пользователей).

esr(config-pptp-server) username < NAME >

<NAME> – имя пользователя, задаётся строкой до 12 символов.

9

Указать пароль пользователя (при использовании локальной аутентификации пользователей).

esr(config-pptp-user) password ascii-text
{ <PASSWORD> | encrypted <PASSWORD> }

<PASSWORD> – пароль пользователя, задается строкой до 32 символов.

10

Активировать пользователя (при использовании локальной аутентификации пользователей).

esr(config-pptp-user) enable


11

Включить PPTP-сервер в зону безопасности и настроить правила взаимодействия между зонами или отключить firewall (см. раздел Конфигурирование Firewall).

esr(config-pptp-server)# security-zone <NAME>

<NAME> – имя зоны безопасности, задаётся строкой до 31 символа.

12Включить сервер.

esr(config-pptp-server)# enable


13

Указать DSCP-приоритет исходящих пакетов (не обязательно).

esr(config-pptp-server)# dscp <DSCP>

<DSCP>– dscp-приоритет исходящих пакетов [0..63].

14

Включить шифрование MPPE для PPTP-соединений (не обязательно).

esr(config-pptp-server)# encryption mppe


15

Указать размер MTU (MaximumTransmitionUnit) для сервера (не обязательно).
MTU более 1500 будет активно только в случае применения команды "system jumbo-frames".

esr(config-pptp-server) mtu <MTU>

<MTU> – значение MTU, принимает значения в диапазоне [1280..1500].

Значение по умолчанию: 1500.

16

Указать список DNS-серверов, которые будут использовать удаленные пользователи (не обязательно).

esr(config-pptp-server)# dns-servers
object-group <OBJ-GROUP-NETWORK -NAME >

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, содержащего адреса необходимых DNS-серверов, задаётся строкой до 31 символа.

17

Указать список WINS-серверов, которые будут использовать удаленные пользователи (не обязательно).

esr(config-pptp-server)# wins-servers object-group
<OBJ-GROUP-NETWORK-NAME >

<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, содержащего адреса необходимых WINS-серверов, задаётся строкой до 31 символа.

Scroll Pagebreak
Пример настройки

Задача:

Настроить PPTP-сервер на маршрутизаторе.

...

Блок кода
esr(config)# object-group network pptp_dns
esr(config-object-group-network)# ip address-range 8.8.8.8,8.8.8.4
esr(config-object-group-network)# exit

Scroll Pagebreak
Создадим PPTP-сервер и привяжем вышеуказанные профили:

...

Блок кода
esr# clear remote-access session pptp username fedor
esr# clear remote-access session pptp server remote-workers username fedor

Scroll Pagebreak
Конфигурацию PPTP-сервера можно посмотреть командой:

...

  • подсеть OpenVPN-сервера – 10.10.100.0/24;
  • режим – L3;
  • аутентификация на основе сертификатов.

Scroll Pagebreak
Решение:

Предварительно нужно выполнить следующие действия:

...

Блок кода
esr(config-openvpn)# encryption algorithm aes128

Scroll Pagebreak
Включим OpenVPN-сервер:   

...

Блок кода
esr# show remote-access counters openvpn server AP

Scroll Pagebreak

Очистить счетчики сессий OpenVPN-сервера можно командой:

...

Блок кода
esr(config-wireguard)# peer 1
esr(config-wireguard-tunnel-peer)# public-key server.pub
esr(config-wireguard-tunnel-peer)# subnet server_wg
esr(config-wireguard-tunnel-peer)# remote address 178.47.26.133
esr(config-wireguard-tunnel-peer)# remote port 43020

Scroll Pagebreak

Включим пир и WireGuard-туннель:

...

Блок кода
esr# show tunnels counters wireguard 1

Scroll Pagebreak

Очистить счётчики сессий WireGuard-туннеля можно командой:

...