Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C
> если есть связь между сетями А и Б, а также Б и
> В - то проблема в маршрутизации или ACL!Между А и B(новое обозначение)через интернет есть по внешним IP есть.
Вот мой конфиг , где может быть ошибка ?
Сеть А (R1 NAT) ------(Интернет)----(R2 NAT)Сеть B ----(LAN,R3)---Сеть C
можно ли создать IPSec VPN Между роутерами R1 и R2 c шифрованием трафика между сетью А и сетью C ?
Давно и много )))) создавал VPN между сетями типа А и B а между А и C сходу не получилось, я дурак или так нельзя?
У меня вот так.
LAN A 192.168.104.0 255.255.255.0
LAN B 192.168.70.0 255.255.255.0
LAN C 192.168.68.0 255.255.255.0
crypto isakmp policy 1
encr 3des
...
!
crypto isakmp key key123 address "ip_add_R1" no-xauth
crypto ipsec transform-set IPSec esp-3des esp-sha-hmac
crypto map CRY_MAP 110 ipsec-isakmp
set peer "ip_add_R1"
set transform-set IPSec
match address 121
!
!
interface Vlan1
description LAN-B
ip address 192.168.70.67 255.255.255.0
ip nat inside
ip virtual-reassembly
...
!
interface Vlan2
ip address in_Internet
...
crypto map CRY_MAP
!
ip nat inside source route-map NAT interface Vlan2 overload`
!
---Основной трафик подлежащий шифрованию
access-list 121 permit ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
--Добавлено потом для тестирования
access-list 121 permit ip host 192.168.70.67 192.168.104.0 0.0.0.255
--ACL для NAT
access-list 130 deny ip 192.168.68.0 0.0.0.255 192.168.104.0 0.0.0.255
access-list 130 deny ip host 192.168.70.67 192.168.104.0 0.0.0.255
access-list 130 permit ip host 192.168.68.81 any
...
access-list 130 permit ip host 192.168.70.97 any
!
route-map NAT permit 10
match ip address 130
match interface Vlan2
====
Я вот тут подумал может в 121 ACL нужно обязательно указывать трафик и между сетями А и B ? Хотя мне это не нужно по соображениям безопасности.