>>>>>Current configuration : 2064 bytes
>>>>>!
>>>>>version 12.3
>>>>>service timestamps debug datetime msec
>>>>>service timestamps log datetime msec
>>>>>no service password-encryption
>>>>>!
>>>>>hostname SUPERROUTER
>>>>>!
>>>>>boot-start-marker
>>>>>boot-end-marker
>>>>>!
>>>>>logging buffered 51200 warnings
>>>>>logging monitor informational
>>>>>!
>>>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>>>username cisco password 0 cisco
>>>>>mmi polling-interval 60
>>>>>no mmi auto-configure
>>>>>no mmi pvc
>>>>>mmi snmp-timeout 180
>>>>>aaa new-model
>>>>>!
>>>>>!
>>>>>aaa authentication login UCL local
>>>>>aaa authorization network UCL local
>>>>>aaa session-id common
>>>>>ip subnet-zero
>>>>>no ip source-route
>>>>>no ip gratuitous-arps
>>>>>!
>>>>>!
>>>>>no ip domain lookup
>>>>>ip domain name SS7UA
>>>>>!
>>>>>!
>>>>>ip cef
>>>>>ip audit po max-events 100
>>>>>no ftp-server write-enable
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>crypto isakmp policy 10
>>>>> encr 3des
>>>>> hash md5
>>>>> authentication pre-share
>>>>> group 2
>>>>>!
>>>>>crypto isakmp client configuration group Cisco2621
>>>>> key 1234567
>>>>> pool POOL
>>>>>!
>>>>>!
>>>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>>>crypto ipsec df-bit clear
>>>>>!
>>>>>!
>>>>>crypto dynamic-map DYN_CKV_LPM 5
>>>>> set transform-set Table1
>>>>> reverse-route
>>>>> qos pre-classify
>>>>>!
>>>>>!
>>>>>crypto map CKV_LPM client authentication list UCL
>>>>>crypto map CKV_LPM isakmp authorization list UCL
>>>>>crypto map CKV_LPM client configuration address respond
>>>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>interface Ethernet0
>>>>> ip address 12.13.14.1 255.255.255.0
>>>>> no ip redirects
>>>>> no ip proxy-arp
>>>>> ip route-cache flow
>>>>> no ip route-cache cef
>>>>> half-duplex
>>>>> crypto map CKV_LPM
>>>>>!
>>>>>interface FastEthernet0
>>>>> ip address 172.19.9.1 255.255.0.0
>>>>> no ip redirects
>>>>> no ip proxy-arp
>>>>> ip route-cache flow
>>>>> no ip route-cache cef
>>>>> speed auto
>>>>>!
>>>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>>>ip classless
>>>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0
>>>>>no ip http server
>>>>>ip http authentication local
>>>>>no ip http secure-server
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>!
>>>>>control-plane
>>>>>!
>>>>>!
>>>>>line con 0
>>>>> privilege level 15
>>>>> no exec
>>>>>line aux 0
>>>>> privilege level 15
>>>>> no exec
>>>>>line vty 0 4
>>>>> privilege level 15
>>>>> transport input ssh
>>>>>line vty 5 15
>>>>> privilege level 15
>>>>> transport input telnet ssh
>>>>>!
>>>>>!
>>>>>end
>>>>>
>>>>>SUPERROUTER#show route-map all
>>>>>STATIC routemaps
>>>>>DYNAMIC routemaps
>>>>> Current active dynamic routemaps = 0
>>>>>SUPERROUTER#
>>>>>
>>>>>Show Route - не хочет понимать
>>>>
>>>>Ну ё моё , вы сами этот конфиг делали , я не
>>>>имею в виду что я вам писал , у вас роутер
>>>>пограничный??? за ним локалка так - так....
>>>>Теперь по порядку
>>>
>>>Current configuration : 2064 bytes
>>>!
>>>version 12.3
>>>service timestamps debug datetime msec
>>>service timestamps log datetime msec
>>>no service password-encryption
>>>!
>>>hostname SUPERROUTER
>>>!
>>>boot-start-marker
>>>boot-end-marker
>>>!
>>>logging buffered 51200 warnings
>>>logging monitor informational
>>>!
>>>username configurator privilege 15 secret 5 $1$r1ee$8Zcn.psKgcwlGewymJ55K0
>>>username cisco password 0 cisco
>>>mmi polling-interval 60
>>>no mmi auto-configure
>>>no mmi pvc
>>>mmi snmp-timeout 180
>>>aaa new-model
>>>!
>>>!
>>>aaa authentication login UCL local
>>>aaa authorization network UCL local
>>>aaa session-id common
>>>ip subnet-zero
>>>no ip source-route
>>>no ip gratuitous-arps
>>>!
>>>!
>>>no ip domain lookup
>>>ip domain name SS7UA
>>>!
>>>!
>>>ip cef
>>>ip audit po max-events 100
>>>no ftp-server write-enable
>>>!
>>>!
>>>!
>>>!
>>>!
>>>!
>>>crypto isakmp policy 10
>>>encr 3des
>>>hash md5 – вот это пока убрать пока не заработает потом попробуешь
>>>дописать
>>>authentication pre-share
>>>group 2
>>>!
>>>crypto isakmp client configuration group Cisco2621
>>>key 1234567
>>>pool POOL
>>>!
>>>!
>>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>>crypto ipsec df-bit clear - вот это пока убрать ( я
>>>даже не знаю что это – если можно мне напиши что
>>>это делает , сбивает df бит в нуль? И
>>>что это даёт.
>>>!
>>>!
>>>crypto dynamic-map DYN_CKV_LPM 5
>>>set transform-set Table1
>>>reverse-route
>>>qos pre-classify
>>>!
>>>!
>>>crypto map CKV_LPM client authentication list UCL
>>>crypto map CKV_LPM isakmp authorization list UCL
>>>crypto map CKV_LPM client configuration address respond
>>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>>!
>>>!
>>>!
>>>!
>>>interface Ethernet0
>>>ip address 12.13.14.1 255.255.255.0
>>>no ip redirects
>>>no ip proxy-arp
>>>ip route-cache flow - зачем тебе FLOW ты статистику собираешь ,
>>>не вижу где , сервер не прописан.
>>>no ip route-cache cef - вот это пока убери
>>>half-duplex
>>>crypto map CKV_LPM - вот здесь что это за криптомап такой
>>>??? когда имя твоего крипто мапа DYN_CKV_LPM
>>>!
>>>interface FastEthernet0
>>>ip address 172.19.9.1 255.255.0.0
>>>no ip redirects
>>>no ip proxy-arp
>>>убрал пока
>>>speed auto
>>>!
>>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>>ip classless
>>>ip route 0.0.0.0 0.0.0.0 10.5.8.105 я надеюсь здесь всё верно хоп
>>>следующего роутера .
>>>ip route 172.19.0.0 255.255.0.0 FastEthernet0 у тебя следующий роутер или сразу
>>>локалка , если локалка эта запись не нужна…. И
>>>тогда включи
>>> ip proxy arp пока
>>>Если же у тебя следующий роутер то куда ты хочешь попасть
>>>
>>>Значит обрати внимание на эту запись , и убери её и включи
>>>на интерфейсе ip proxy arp
>>>
>>>no ip http server
>>>ip http authentication local
>>>no ip http secure-server
>>>!
>>>!
>>>!
>>>!
>>>!
>>>control-plane
>>>!
>>>!
>>>line con 0
>>>privilege level 15
>>>no exec
>>>line aux 0
>>>privilege level 15
>>>no exec
>>>line vty 0 4
>>>privilege level 15
>>>transport input ssh
>>>line vty 5 15
>>>privilege level 15
>>>transport input telnet ssh
>>>!
>>>!
>>>end
>>>SUPERROUTER#show route-map all
>>>STATIC routemaps
>>>DYNAMIC routemaps
>>>Current active dynamic routemaps = 0
>>>SUPERROUTER#
>>>Show Route - не хочет понимать
>>>Да Серёж извини писать надо show ip route ) просто забываю
>>>иногда
>>>
>>>Итак – Первое – крипто мап повесь нормально – с правильным именем
>>>
>>>2 Маршрут убери или если у тебя за ним следующий роут
>>>пропиши ip route 172.19.0.0 255.255.0.0 адресс следующего роута.
>>>
>>>Да и если у тебя так все непонятно пиши топологию) а если
>>>в москве то по пиву )
>>>Делаешь пробуешь пишешь.
>>>http://www.cisco.com/univercd/cc/td/doc/product/vpn/client/4...
>>>посмотри вот это окей )
>>
>>Итак – Первое – крипто мап повесь нормально – с правильным именем
>>- это не надо погоричился запутался в названиях
>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM- вот здесь у тебя команды clientmap нету ??( я просто не помню оно залаеться или нет ) isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM Насчёт ACL на крипто мапе пишут вот что
Enabling Split Tunneling
To enable split tunneling for the VPN connections, make sure that you have an access list configured on the router. In the example below, the access-list 108 command is associated with the group for split-tunneling purposes, and the tunnel is formed to the 14.38.X.X /16 network. Traffic flows unencrypted to devices not in access list 108 (for example, the Internet).
access-list 108 permit ip 14.38.0.0 0.0.255.255
14.1.1.0 0.0.0.255
Then apply the access list on the group properties.
crypto isakmp client configuration group 3000client
key cisco123
dns 14.38.100.10
wins 14.38.100.20
domain cisco.com
pool ippool
acl 108
