>cisco-2651xm#show crypto ipsec sa
>
>interface: FastEthernet0/0
> Crypto map tag: mymap, local addr. xxx.xxx.77.10
>
> protected vrf:
> local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
> remote ident (addr/mask/prot/port): (192.168.11.10/255.255.255.255/0/0)
> current_peer: xxx.xxx.77.1:500
> PERMIT, flags={}
> #pkts encaps: 2, #pkts encrypt: 2, #pkts digest
>2
> #pkts decaps: 72, #pkts decrypt: 72, #pkts verify
>72
> #pkts compressed: 0, #pkts decompressed: 0
> #pkts not compressed: 0, #pkts compr. failed: 0
>
> #pkts not decompressed: 0, #pkts decompress failed: 0
>
> #send errors 0, #recv errors 0
>
> local crypto endpt.: xxx.xxx.77.10, remote crypto endpt.:
>xxx.xxx.77.1
> path mtu 1500, ip mtu 1500, ip
>mtu idb FastEthernet0/0
> current outbound spi: FE9A3F93
>
> inbound esp sas:
> spi: 0xF6E4C26F(4142187119)
> transform: esp-3des esp-sha-hmac ,
>
> in use settings ={Tunnel,
>}
> slot: 0, conn id:
>2000, flow_id: 1, crypto map: mymap
> sa timing: remaining key
>lifetime (k/sec): (4544742/3537)
> IV size: 8 bytes
>
> replay detection support: Y
>
>
> inbound ah sas:
>
> inbound pcp sas:
>
> outbound esp sas:
> spi: 0xFE9A3F93(4271521683)
> transform: esp-3des esp-sha-hmac ,
>
> in use settings ={Tunnel,
>}
> slot: 0, conn id:
>2001, flow_id: 2, crypto map: mymap
> sa timing: remaining key
>lifetime (k/sec): (4544753/3537)
> IV size: 8 bytes
>
> replay detection support: Y
>
>
> outbound ah sas:
>
> outbound pcp sas:
Багира я уже иду ))Вот поднимаю старый ответ
>>есть ПК+Инэт(с дешевым региональным трафиком и дорогим зарубежным)
>>также в соседнем городе есть Cisco одним портом воткнутая в Инэт(анлим)
>>ЗАДАЧА:
>>..ходить в инэт с ПК через циску(тоесть просто слать пакеты в порт
>>циски а они в свою очередь через тот же порт уходили
>>дальше в инэт)..тоесть использование регионального трафика вместо заграничного!..
>>..подозреваю что по сути это как прозрачный прокси..
>
>Нет, это скорее vpn + nat.
>
>VPN-ом на циску, с нее в инет через нат.
aaa authentication login default local
aaa authentication login UCL local
aaa authorization exec default local
aaa authorization network UCL local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
!
no ip domain lookup
!
no ip bootp server
ip audit po max-events 100
!
!
!
! !
crypto isakmp policy 10
hash md5
authentication pre-share
group 2
!
crypto isakmp client configuration group Cisco2621
key 1234567
pool POOL
!
crypto isakmp client configuration group Roman
key 123456789
pool POOL2
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto dynamic-map DM 10
set transform-set TS
reverse-route
qos pre-classify
!
!
crypto map CM client authentication list UCL
crypto map CM isakmp authorization list UCL
crypto map CM client configuration address respond
crypto map CM 10 ipsec-isakmp dynamic DM
!
!
!
!
interface Loopback1
ip address 172.17.1.1 255.255.255.255
ip nat inside
interface FastEthernet0/1
bandwidth 100000
ip address 172.18.1.1 255.255.0.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip policy route-map Loop
duplex auto
speed auto
no cdp enable
crypto map CM
ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
ip local pool POOL2 172.18.3.10 group Roman
ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
ip nat inside source list 11 pool out overload
no ip http server
no ip http secure-server
ip classless
access-list 11 permit 172.18.3.0 0.0.0.255
no cdp run
!
!
route-map Loop permit 10
match ip address 11
set interface Loopback1
Вот испытывал вроде работает…..
Циско впн клиент плюхаеться на сиску , получает айпи адресс , перескакивает на луппбек , там в инсайд потом в оутсайд и тутутутуту в инет ….. пробуй
Убери роут мапы и лупбек, и нат убери,и акцесс лист acl 100 не вписывай потом впишешь) пробывать надо крутить так сяк , да и группу одну оставь на выбор.
