Cisco 881 настройка для одновременного доступа к Internet + VPN

[Sergey19700520]

Здравствуйте! Имеется маршрутизатор Cisco 881-SEC-K9. Необходимо его настроить таким образом, чтобы:
1. Подавался входной сигнал с Internet-модема, у Internet-модема есть внешний статический IP-адрес;
2. Подавался входной сигнал с VPN-модема;
3. Выходной сигнал c Cisco подавался на неуправляемый коммутатор;
4. На всех компьютерах, подключенных к неуправляемому коммутатору, одновременно обеспечивался бы:
а) доступ в Internet;
б) доступ к определённым (статическим) адресам VPN-сети, число их невелико;
5. Обеспечивалось бы разделение Internet- и VPN-сетей, т.е. чтобы из Internet нельзя было бы никаким образом попасть в VPN-сеть и наоборот (т.е., чтобы Cisco работал бы в качестве межсетевого экрана).

Как такое реализовать? Опыта работы с Cisco у меня, к сожалению, никакого.

 

[Giroskop]

это не пакет с орешками. Да и объяснять долго. Попробуйте через веб интерфейс
Примерно как тут https://linkas.ru/articles/nastroyka-cisco-881/

 

[Sergey19700520]

Спасибо, попробую...

 

[LayLa]

Посетите курс CCNA

 

[Sergey19700520]

В конечном счёте пришёл я к такому варианту конфигурации:

Спойлер: running-config

version 15.5
no service pad
service timestamps debug datetime localtime
service timestamps log datetime localtime
service password-encryption
!
hostname 881_Router
!
boot-start-marker
boot system flash:c880data-universalk9-mz.155-3.M10.bin
boot-end-marker
!
!
logging buffered 65536
enable secret 5 ******************************
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
ethernet lmi ce
memory-size iomem 10
clock timezone MSK 3 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!


ip port-map http port tcp from 1 to 65535 list 1
!
!
!
!
ip domain name *****************
ip inspect name CSM_INSPECT_1 http
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO881-SEC-K9 sn ***********
!
!
archive
log config
logging enable
logging size 200
hidekeys
object-group service RDP
tcp eq 3389
!
username Admin_bez privilege 15 secret 5 ******************************
!
!
!
!
!
!
!
!
!
!
!
!
!
!
interface FastEthernet0
description lan
switchport access vlan 20
no ip address
!
interface FastEthernet1
description vpn
switchport access vlan 30
no ip address
!
interface FastEthernet2
description lan
switchport access vlan 20
no ip address
!
interface FastEthernet3
description lan
switchport access vlan 20
no ip address
!
interface FastEthernet4
description WAN
ip address dhcp client-id FastEthernet4
ip nat outside
ip virtual-reassembly in
shutdown
duplex auto
speed auto
!
interface Vlan1
no ip address
no ip redirects
no ip proxy-arp
ip virtual-reassembly in
!
interface Vlan20
description lan
ip address 10.40.169.3 255.255.255.0
ip access-group Inbound in
ip access-group Outbound out
ip nat inside
ip virtual-reassembly in
!
interface Vlan30
description vpn
ip address 172.26.66.173 255.255.255.248
ip access-group Inbound in
ip nat outside
ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map RMAP_NAT_FastEthernet4 interface FastEthernet4 overload
ip route 10.96.16.0 255.255.255.0 172.26.66.169
ip route 10.128.217.12 255.255.255.255 172.26.66.169
ip route 10.254.11.31 255.255.255.255 172.26.66.169
ip route 81.30.80.63 255.255.255.255 172.26.66.169
ip route 172.26.0.0 255.255.0.0 172.26.66.169
ip route 172.30.1.242 255.255.255.255 172.26.66.169
ip route 192.168.110.0 255.255.255.0 172.26.66.169
ip route 192.168.120.0 255.255.255.0 172.26.66.169
ip route 192.168.144.0 255.255.240.0 172.26.66.169
ip route 192.168.201.0 255.255.255.0 172.26.66.169
ip route 0.0.0.0 0.0.0.0 dhcp
ip ssh version 2
!
ip access-list standard SNMP_ACCESS_RO
permit 10.96.16.2
ip access-list standard admin
permit 10.96.16.91
permit 10.96.16.32
permit 10.40.169.234
permit 10.40.169.115
deny any log
!
ip access-list extended ACL_NAT
permit ip 10.40.169.0 0.0.0.255 any
ip access-list extended Inbound
permit icmp any any
permit udp any any
permit tcp any any
ip access-list extended Outbound
permit icmp any any
permit udp any any
permit tcp any any
!
!
route-map RMAP_NAT_FastEthernet4 permit 10
match ip address ACL_NAT
match interface FastEthernet4
!
snmp-server community zabbix_mos_admin RO SNMP_ACL
snmp-server enable traps snmp authentication linkdown linkup coldstart warmstart
snmp-server host 10.96.16.2 version 2c zabbix_mos_admin
!
!
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
line aux 0
line vty 0 4
access-class admin in
exec-timeout 60 0
password 7 **********************
logging synchronous
transport input ssh
!
ntp source Vlan30
ntp update-calendar
ntp server 10.96.16.2
!
end

Но при приведенной конфигурации есть следующая проблема. Если соединить WAN-порт (FastEthernet4) Cisco и один из портов модема ZTE ZXHN H267N (IP-адрес модема 10.40.169.2), раздающего интернет, например, LAN1, LAN-кабелем, то IP-адрес модема 10.40.169.2 не пингуется, не пингуются, соответственно, и интернет-адреса, например, 8.8.8.8. Включение/отключение DHCP на модеме не помогает. Включение интерфейса FastEthernet4 командой

no shutdown

тоже. Помогите Cisco увидеть модем и интернет. Конфигурацию Cisco менять нежелательно