Easy VPN罪恶的温柔.docx
- 文档编号:9260407
- 上传时间:2023-02-03
- 格式:DOCX
- 页数:13
- 大小:261.19KB
Easy VPN罪恶的温柔.docx
《Easy VPN罪恶的温柔.docx》由会员分享,可在线阅读,更多相关《Easy VPN罪恶的温柔.docx(13页珍藏版)》请在冰豆网上搜索。
EasyVPN罪恶的温柔
EasyVPN
实验拓扑:
Remote_PC采用桥接到Vmware中的XP(桥接方法见:
《802.1x认证基本实验》)在Vmware中的XP中安装思科的VPN客户端软件,图中下方两个路由器也做EzVPN_Client,分别使用两种模式。
R3做公司的VPN服务器,Sverver为公司内网的资源服务器供远程访问。
1.配置IP
先做Remote_PC软件Client,两个EzVPN_Client路由器先无视。
2.在R1、R3上配置默认路由,R2配置ip就行了。
并将Remote_PC和Server的网关指向所连接的路由器。
R1:
在R1上做NAT让R1的内网能够访问互联网,
R3:
做完NAT后测试内网能不能访问互联网:
Remote_PC:
Server:
接下来的是关键:
在R3上配置VPN服务器:
①创建本地用户
usernameuser1passuser1//用于拨号认证
②AAA//Xauth认证用户名跟密码,引入AAA,所以在配置的时候要配置AAA认证
aaanew-model
aaaauthenticationloginVPN-authlocal
aaaauthorzationnetworkVPN-authlccal
-------------------------------------------------------------------------------
③定义IKE策略//IKE第1阶段
cryptoisakmppolicy1
authenticationpre-share
group2
encryption3des
hashmd5
④配置客户端推送策略
cryptoisakmpclientconfigurationgroupVPN-group
keycisco
poolVPN-pool
aclVPN-list
⑤定义客户端地址池
iplocalpoolVPN-pool10.1.1.10010.1.1.200//地址可以随意的私网地址,但这个地址,在内网必须有路由可达到拨号网关内部的设备有去往10.1.1.0的路由
-------------------------------------------------------------------------------
⑥定义转换集//IKE1.5阶段
cryptoipsectransform-setVPN-tranesp-3desesp-md5-hmac
⑦调用认证策略
cryptoisakmpprofileVPN-profile
matchidentitygroupVPN-group
clientauthenticationlistVPN-auth
isakmpauthorizationlistVPN-auth
clientconfigurationaddressrespond//验证Config
⑧创建动态Map//因为我们是拨号上来的,对方的地方你并不知道是多少,所以要创建一个动态Map
cryptodynamic-mapVPN-dymap10
settransform-setVPN-tran
setisakmp-profileVPN-profile
reverse-route//反向路由注入,当客户端播入后在服务器端会生成一条主机路由,目标为客户端地址,下一跳为于客户端直连的路由器的公网端口
⑨用静态Map去调用动态Map//IKE第2阶段
cryptomapVPN-map10ipsec-isakmpdynamicVPN-dymap
-------------------------------------------------------------------------------
⑩在接口调用静态MAP
ints0/1
cryptomapVPN-map
默认通过VPNClient拨号上来,所以的流量都走VPN,如果你有流量要走互联网,那么要做隧道分离:
ipaccess-listextendedVPN-list//在第④步调用
permitip172.16.1.00.0.0.255any//172.16.1.0为公司内网的地址。
为了防止NAT地址转换对VPN的影响在R3上做NAT时加入:
denyip172.16.1.00.0.0.25510.1.1.00.0.0.255//命名的访问控制列表可以通过序列号添加条目
接下来配置PC上的ciscovpn客户端软件:
安装了ciscovpn客户端后会在电脑上添加一块网卡,默认是禁用的。
点New新建:
完了之后点击Connect:
输入之前定义的用户名密码。
连上后任务栏的这把小锁会锁起来,网卡启用。
Ping互联网地址:
Ping公司的Server:
此时在R3上会产生一条反向注入的主机路由。
现在来配置两个EzVPN_Client路由器客户端,
EzVPN_Client:
client模式
配置默认路由和NAT:
iproute0.0.0.00.0.0.0Serial0/2
!
ipnatinsidesourcelistNATinterfaceSerial0/2overload
!
!
ipaccess-listextendedNAT
permitip192.168.3.00.0.0.255any
!
interfaceLoopback0
ipaddress192.168.3.3255.255.255.0
ipnatinside
!
interfaceSerial0/2
ipaddress202.3.3.3255.255.255.0
ipnatoutside
配置VPN:
EzVPN_Client(config)#cryptoipsecclientezvpnEzVPN//创建个Client
EzVPN_Client(config‐crypto‐ezvpn)#peer202.2.2.3//服务器地址
EzVPN_Client(config‐crypto‐ezvpn)#groupVPN-groupkeycisco//服务器上的组名和密码
EzVPN_Client(config‐crypto‐ezvpn)#modeclient(共有2种模式:
client和network‐extension)
EzVPN_Client(config‐crypto‐ezvpn)#connectmanual(auto和manual)//手动连接
EzVPN_Client(config‐crypto‐ezvpn)#exit
EzVPN_Client(config)#interfaceSerial0/2//在接口下调用
EzVPN_Client(config‐if)#cryptoipsecclientezvpnEzVPNoutside
EzVPN_Client(config‐if)#interfaceloopback0
EzVPN_Client(config‐if)#cryptoipsecclientezvpnEzVPNinside
EzVPN_Client(config‐if)#end
EzVPN_Client#cryptoipsecclientezvpnconnect
EzVPN_Client#cryptoipsecclientezvpnxauth
Username:
user1
Password:
//密码不回显
连上去之后看可以看到状态为活动状态,从VPN服务器地址池那里获取到了一个地址。
在R3上自动加上了这条主机路由。
测试能通,注意要带源Ping。
EzVPN_Client2:
network‐extension模式
iproute0.0.0.00.0.0.0Serial0/3
!
ipnatinsidesourcelistNATinterfaceSerial0/3overload
!
!
ipaccess-listextendedNAT
denyip192.168.4.00.0.0.255172.16.1.00.0.0.255//这里要加上这句,具体见下面的client和network‐extension模式的区别
permitip192.168.4.00.0.0.255any
!
interfaceLoopback0
ipaddress192.168.4.4255.255.255.0
ipnatinside
!
interfaceSerial0/3
ipaddress202.4.4.4255.255.255.0
ipnatoutside
配置VPN:
只要把mode改下就行了。
EzVPN_Client2(config)#cryptoipsecclientezvpnEzVPN
EzVPN_Client2(config‐crypto‐ezvpn)#peer202.2.2.3
EzVPN_Client2(config‐crypto‐ezvpn)#groupVPN-groupkeycisco
EzVPN_Client2(config‐crypto‐ezvpn)#modenetwork‐extension
EzVPN_Client2(config‐crypto‐ezvpn)#connectmanual
EzVPN_Client2(config‐crypto‐ezvpn)#exit
EzVPN_Client2(config)#interfaceSerial0/3
EzVPN_Client2(config‐if)#cryptoipsecclientezvpnEzVPNoutside
EzVPN_Client2(config‐if)#interfaceloopback0
EzVPN_Client2(config‐if)#cryptoipsecclientezvpnEzVPNinside
EzVPN_Client2(config‐if)#end
EzVPN_Client2#cryptoipsecclientezvpnconnect
EzVPN_Client2#cryptoipsecclientezvpnxauth
Username:
user1
Password:
连上去之后查看ezvpn的状态:
可以看到此时客户端是不会获取到服务器端的地址的,因为它用真实的192.168.4.0网段去访问公司的内网,所以为了确保我们访问公司内网时激活VPN,我们在EzVPN_Client2做NAT时要把192.168.4.0到172.16.1.0的网段过滤掉,以免被转换成公网地址。
client和network‐extension模式的主要区别就在于前者是用分配的地址去上VPN的,而后者是用真实的地址去上VPN。
自然client模式公司的内网是无法访问远程客户端的内网的,而network‐extension模式公司的内网可以去访问我们远程客户端的内部主机。
在R3上同样自动加上了一条反向注入的路由:
可以看到这条路由是到达EzVPN_Client2真实内网的路由。
在EzVPN_Client和EzVPN_Client2去查看NAT状态:
在EzVPN_Client上我们可以看到有internet-list和enterprise-list前面的是用来走上网流量,后面的是用来走VPN的,而且可以看到它有个地址池,VPN流量都被转换成这个地址了。
在EzVPN_Client2我们可以看到没有那个地址转换池了。
用EzVPN_Client、EzVPN_Client2去telnetServer:
注意都要带源telnet。
在Server上查看登录上来的用户就可以看一个用的是分配的ip一个用的是真实的ip。
用Server分别去访问两个远程内网,一个不通另个能通:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Easy VPN罪恶的温柔 VPN 罪恶 温柔