>>Вот новый крнфиг, с Вашими исправлениями :)
>>
>>aaa session-id common
>>ip subnet-zero
>>no ip source-route
>>no ip gratuitous-arps
>>!
>>!
>>no ip domain lookup
>>ip domain name SS7UA
>>!
>>!
>>ip cef
>>ip audit po max-events 100
>>no ftp-server write-enable
>>!
>>!
>>!
>>!
>>!
>>!
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group Cisco2621
>> key 1234567
>> pool POOL
>> acl 100
>>!
>>!
>>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac
>>crypto ipsec df-bit clear
>>!
>>!
>>crypto dynamic-map DYN_CKV_LPM 5
>> set transform-set Table1
>> reverse-route
>> qos pre-classify
>>!
>>!
>>crypto map CKV_LPM client authentication list UCL
>>crypto map CKV_LPM isakmp authorization list UCL
>>crypto map CKV_LPM client configuration address respond
>>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM
>>!
>>!
>>!
>>!
>>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>>!
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>> speed auto
>>!
>>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 10.5.8.105
>>no ip http server
>>ip http authentication local
>>no ip http secure-server
>>!
>>!
>>!
>>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255
>>
>>Cisco VPN Client 4.7.00.0533
>>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) -
>>это циска
>>
>>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за
>>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит
>>оба компа. Жду советов
>>Спасибо за помощь
>
>И так за внутренним шлюзом сразу идёт локалка , так сниффер есть
>возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне
>хотелось бы знать не пингует ли роутер два компа а пингуют
>ли друг друга компы )) Ну давайте попробуем вариант с натом
>сначало без лупбека.
>
>interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>>! ip nat inside
>>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>ip nat outsaid
>speed auto
>
>ip nat inside sourse list 1 pool out overload
>ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0
>access-list 1 permit 172.18.3.0 0.0.0.255
>
>Пробуем так ,
>потом пробуем с лупбеком
>
>interface Loopback1
> ip address 12.13.13.1 255.255.255.255
> ip nat inside
>interface FastEthernet0
>> ip address 172.19.9.1 255.255.0.0
>> no ip redirects
>ip nat outsaid
>speed auto
> interface Ethernet0
>> ip address 12.13.14.1 255.255.255.0
>> no ip redirects
>> half-duplex
>> crypto map CKV_LPM
>
>ip policy route-map Loop
>
>
>route-map Loop permit 10
> match ip address 11
> set interface Loopback1
>
>access-list 11 permit 172.18.3.0 0.0.0.255
>
>Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100
>и включать на клиенте
>
>Ну а на последок если всё это не помогает , оставляешь без
>ната и прописываешь просто обратный маршрут
>ip route 172.18.3.0 255.255.255.0 inter eth 0
>
>ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк
>или на крайнеи случай уже к каждому хосту
>ip route 172.18.3.3 255.255.255.255 inter eth 0
>ip route 172.18.3.4 255.255.255.255 inter eth 0
>ip route 172.18.3.5 255.255.255.255 inter eth 0
>ip route 172.18.3.6 255.255.255.255 inter eth 0
>вот меня распирает )) но пробывать надо всё )
>нов общем твой случай очень странный )
>
>да кстати настройки у тебя стандартные на клиенте - ipsec/udp
>вначале IOS потом группа ключ , без всяких прибамбасов ?
попробуй поиграть с этим
reverse-route
> qos pre-classify
при каждом варианте включай выключай может глючит что ( То есть решай
|
