Настройка VPN-сервера на маршрутизаторе Cisco

   Настройка VPN-сервера на маршрутизаторе Cisco достаточно проста, но есть некоторые нюансы, которые могут стать причиной долгих поисков проблем в стиле "все правильно сделал, но ничего не работает".

UPD: Если у вас IOS 15+ и клиентская ОС Windows 10 - здесь вы найдете более правильную инструкцию, учитывающую все изменения.

   Итак,  для настройки VPN-сервера на маршрутизаторе Cisco необходимо выполнить следующие команды. Настраивать будем VPN на основе PPTP:

   Для начала создаем пул адресов, которые будут выдаваться пользователям, подключающимся по VPN:

R_1(config)#ip local pool VPN 192.168.1.100 192.168.1.110 

   В пуле всего 10 адресов, при этом адреса взяты из общего пула (192.168.1.0/24), который используется во внутренней сети. Можно создать отдельную сеть для подключающихся по VPN пользователей, но в данной задаче такого условия не было.

   Включаем сервис VPN-сервера:

R_1(config)#vpdn enable

   Далее настраиваем VPDN-группу: Здесь мы должны разрешить маршрутизатору отвечать на входящие запросы PPTP, и указать специально созданный виртуальный шаблон (virtual template), необходимый для клонирования интерфейса и использования его в качестве основного шлюза для подключающихся клиентов:

R_1(config)#vpdn-group VPN
R_1(config-vpdn)#accept-dialin
R_1(config-vpdn-acc-in)#virtual-template 1
R_1(config-vpdn-acc-in)#protocol pptp 
R_1(config-vpdn-acc-in)#exit
R_1(config-vpdn)#

   Переходим к последнему этапу настройки: необходимо создать виртуальный шаблон, который позволит клонировать интерфейс, а так же укажет, какие параметры для подключения необходимо использовать:

R_1(config)#interface virtual-template 1      // создаем интерфейс VT
R_1(config)#encapsulation ppp                 // включаем инкапсуляцию PPP
R_1(config)#peer default ip address pool VPN  // адреса для подключающихся берем из созданного ранее пула
R_1(config)#ip unnumbered GigabitEthernet0/0.1// клонируем субинтерфейс Gi0/0.1, 

                                              //т.к. в нашей топологии общая сеть подключена к нему
R_1(config)#no keepalive
R_1(config)#ppp encrypt mppe auto             // включаем шифрование. NPE IOS не поддерживает эту команду!
R_1(config)#ppp authentication pap chap ms-chap ms-chap-v2 // Включаем все возможные виды аутентификации

   Осталось создать локальную базу данных пользователей, которые могли бы подключаться к нашему серверу, используя внешний IP-адрес в качестве адреса сервера, и логины и пароли из локальной базы на Cisco-маршрутизаторе.

   Во всех мануалах команда выглядит следующим образом: 

Router(config)#username test privilege 0 ?
  password  Specify the password for the user
  secret    Specify the secret for the user
  <cr>

   Пользователям задаем 0 привилегий, это значит, что под своими логинами и паролями пользователи не смогут что-нибудь сломать на маршрутизаторе, если вдруг решат на него залезть посредством telnet/ssh.

   При использовании SECRET возникают проблемы с работой всех видов аутентификации, кроме PAP. Поэтому, если используется PAP, можно ставить секретный пароль. Но если используются другие виды аутентификации, то необходимо выбирать пункт PASSWORD.

   После этого на машине под управлением ОС семейства Windows создаем с помощью мастера VPN подключения, адрес сервера - внешний IP маршрутизатора Cisco, логины и пароли - из базы. Если у маршрутизатора не включалось шифрования (сознательно, либо из-за отсутствия возможности) - не забываем в свойствах подключения указать, что шифрование необязательное. И пользуемся созданным VPN'ом.