# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  Remote Access VPN σε CISCO 887VA-W

## Repel

Παιδία θα ήθελα λίγο την βοήθεια σας γιατί έχω κολλήσει με κάτι στο VPN και οτι κ αν δοκίμασα δεν λέει να παίξει με τίποτα.

Σετάρω ένα remote access VPN και πέρα απο την επικοινωνία του VPN Client με το εσωτερικό LAN θέλω να έχει και πρόσβαση στο Ιντερνετ μέσω του Cisco , δηλαδή όλη η κίνηση του VPN Client να είναι encrypted (οχι SPLIT TUNNEL).

Έχω καταφέρει να έχω επικοινωνία με το μέσα LAN αλλά έχω κολλήσει στο δεύτερο σκέλος ώστε να με βγαίνω και στο internet.

Έχω τα εξής μέχρι στιγμής : 


*Spoiler:*






```
aaa new-model
!
!
aaa authentication login AAA-VPN local
aaa authorization network AAA-VPN local

crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group VPNFULL
 key xxxxxxxxx
 dns 62.38.0.81 62.38.1.81
 pool VPNFULLPOOL
 netmask 255.255.255.0

crypto ipsec transform-set TRNVPN esp-3des esp-sha-hmac
 mode tunnel


crypto dynamic-map dynmap 10
 set transform-set TRNVPN
 reverse-route

crypto map vpn client authentication list AAA-VPN
crypto map vpn isakmp authorization list AAA-VPN
crypto map vpn client configuration address initiate
crypto map vpn client configuration address respond
crypto map vpn 10 ipsec-isakmp dynamic dynmap

interface Dialer0
 ip address negotiated
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 no ip virtual-reassembly in
 encapsulation ppp
 no ip route-cache same-interface
 dialer pool 1
 dialer-group 1
 ppp authentication pap callin
 ppp pap sent-username xxxxxxxxx password 7 xxxxxxxxxxxxx
 no cdp enable
 crypto map vpn

ip local pool VPNFULLPOOL 10.9.0.1 10.9.0.5

ip nat inside source route-map RM-POLICY-NAT interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0


ip access-list extended POLICY-NAT
 deny   ip 10.0.0.0 0.0.0.15 10.9.0.0 0.0.0.255
 permit ip 10.0.0.0 0.0.0.15 any
 permit ip 10.9.0.0 0.0.0.255 any
 permit ip 10.0.0.48 0.0.0.15 any

!
route-map RM-NAT permit 10
 match ip address POLICY-NAT
```






To μέσα LAN είναι το 10.0.0.0 0.0.0.15 (υπάρχει και το 10.0.0.48 subnet αλλά δεν μας ενδιαφέρει)
Οι VPN clients παίρνουν 10.9.0.0./24 (10.9.0.1 έως 10.9.0.5)

Το ΝΑΤ μου φαίνεται εντάξει για όταν οι VPN clients ζητήσουν internet...

Πώς πρέπει να καθορίσω όμως αυτή την κίνηση των VPN Clients πρός το internet?

----------


## taxiarxos

Για ρίξε μια ματιά εδώ.

http://www.firewall.cx/cisco-technic...pn-client.html

----------


## Repel

Ευχαριστώ,βρήκα άκρη τελικά μετά από αρκετό διάβασμα Και το σεταρα με virtual templates.

Στον 877 το έκανα με route maps και το κόλπο με την Loopback αλλά στον 887 αυτό δεν έλεγε να παίξει με τίποτα όποτε διάβασα κ αυτή τη μέθοδο.

Όποτε έχω κ πρόσβαση με full encrypted traffic ή split tunnel. :-)

----------


## taxiarxos

Ωραία..! Παραμένει όμως L2TP IPSec ή το έκανες με PPTP; Αυτό με το virtual template το έχω δει κυρίως να παίζει με PPTP. Αν θέλεις κάνε ένα post το config να το αναλύσουμε.

----------

