>>Вот новый крнфиг, с Вашими исправлениями :) >> >>aaa session-id common >>ip subnet-zero >>no ip source-route >>no ip gratuitous-arps >>! >>! >>no ip domain lookup >>ip domain name SS7UA >>! >>! >>ip cef >>ip audit po max-events 100 >>no ftp-server write-enable >>! >>! >>! >>! >>! >>! >>crypto isakmp policy 10 >> encr 3des >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group Cisco2621 >> key 1234567 >> pool POOL >> acl 100 >>! >>! >>crypto ipsec transform-set Table1 esp-3des esp-sha-hmac >>crypto ipsec df-bit clear >>! >>! >>crypto dynamic-map DYN_CKV_LPM 5 >> set transform-set Table1 >> reverse-route >> qos pre-classify >>! >>! >>crypto map CKV_LPM client authentication list UCL >>crypto map CKV_LPM isakmp authorization list UCL >>crypto map CKV_LPM client configuration address respond >>crypto map CKV_LPM 5 ipsec-isakmp dynamic DYN_CKV_LPM >>! >>! >>! >>! >>interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM >>! >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >> speed auto >>! >>ip local pool POOL 172.18.3.3 172.18.3.6 group Cisco2621 >>ip classless >>ip route 0.0.0.0 0.0.0.0 10.5.8.105 >>no ip http server >>ip http authentication local >>no ip http secure-server >>! >>! >>! >>access-list 100 permit ip 172.19.0.0 0.0.255.255 172.18.3.0 0.0.0.255 >> >>Cisco VPN Client 4.7.00.0533 >>Cisco IOS Software, C1700 Software (C1700-K9O3SY7-M), Version 12.3(7)T6, RELEASE SOFTWARE (fc2) - >>это циска >> >>Все осталось пока по прежнему. Подключается чуть дольше - это наверное, из-за >>убранного md5. Дальний интерфейс роутера пингует, ближний - тоже. Роутер видит >>оба компа. Жду советов >>Спасибо за помощь > >И так за внутренним шлюзом сразу идёт локалка , так сниффер есть >возможность воткнуть на линии? если пингует внутренний шлюз это хорошо, мне >хотелось бы знать не пингует ли роутер два компа а пингуют >ли друг друга компы )) Ну давайте попробуем вариант с натом >сначало без лупбека. > >interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM >>! ip nat inside >>interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >ip nat outsaid >speed auto > >ip nat inside sourse list 1 pool out overload >ip nat pool out 192.18.1.1 192.18.1.1 netmask 255.255.255.0 >access-list 1 permit 172.18.3.0 0.0.0.255 > >Пробуем так , >потом пробуем с лупбеком > >interface Loopback1 > ip address 12.13.13.1 255.255.255.255 > ip nat inside >interface FastEthernet0 >> ip address 172.19.9.1 255.255.0.0 >> no ip redirects >ip nat outsaid >speed auto > interface Ethernet0 >> ip address 12.13.14.1 255.255.255.0 >> no ip redirects >> half-duplex >> crypto map CKV_LPM > >ip policy route-map Loop > > >route-map Loop permit 10 > match ip address 11 > set interface Loopback1 > >access-list 11 permit 172.18.3.0 0.0.0.255 > >Вот вроде бы всё , в обоих случаях пробуешь отключать ACL 100 >и включать на клиенте > >Ну а на последок если всё это не помогает , оставляешь без >ната и прописываешь просто обратный маршрут >ip route 172.18.3.0 255.255.255.0 inter eth 0 > >ip route 172.18.3.0 255.255.0.0 inter eth 0 или так на крайняк >или на крайнеи случай уже к каждому хосту >ip route 172.18.3.3 255.255.255.255 inter eth 0 >ip route 172.18.3.4 255.255.255.255 inter eth 0 >ip route 172.18.3.5 255.255.255.255 inter eth 0 >ip route 172.18.3.6 255.255.255.255 inter eth 0 >вот меня распирает )) но пробывать надо всё ) >нов общем твой случай очень странный ) > >да кстати настройки у тебя стандартные на клиенте - ipsec/udp >вначале IOS потом группа ключ , без всяких прибамбасов ? попробуй поиграть с этим reverse-route > qos pre-classify при каждом варианте включай выключай может глючит что ( То есть решай
|