>>>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример
>>>- правда он сумбурно разобран был ... как бы надо было
>>>из кусочков собирать , из разных глав, может ты какой кусочек
>>>забыл например динамическую карту прописать . В принципе я смотрел по
>>>форумам и на cisco.com
>>
>>
>>да нет, это статья с cisco.com
>>отконфигурить не забыл, забыл сюда вставить в письмо :-)
>>сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть..
>>я уж и так и сяк...
>>
>>странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>>
>>там чуть другим путем мапу обозначили, но суть не меняется... все также
>>работает, роутинг не идет.
>>
>>
>>
>>crypto isakmp policy 10
>> encr 3des
>> authentication pre-share
>> group 2
>>!
>>crypto isakmp client configuration group testgroup
>> key cisco321
>> dns xxx.xxx.76.6 xxx.xxx.77.6
>> wins 192.168.1.1
>> domain logika.ru
>> pool ippool
>> acl 100
>>crypto isakmp profile VPNclient
>> description VPN clients profile
>> match identity group testgroup
>> client authentication list clientauth
>> isakmp authorization list groupauthor
>> client configuration address respond
>>!
>>!
>>crypto ipsec transform-set myset esp-3des esp-sha-hmac
>>!
>>crypto dynamic-map dynmap 5
>> set transform-set myset
>> set isakmp-profile VPNclient
>>!
>>!
>>crypto map mymap 10 ipsec-isakmp dynamic dynmap
>
>Вот в динамическую карту добавь,
>
>crypto dynamic-map DM 10
>set transform-set TS
>reverse-route - вот это
>
>qos pre-classify - вот это
>
>Пулл адресов задай фейковый ченить там бла бла бла
>маршрут один оставь по умолчанию , команды в крипто мапе сделают своё
>дело, и убери этот ACL 100 я пока в нём
>не разобрался как работает тоже ничё не ходило. У тебя адреса
>с пула роли никакой не играют они идут по туннелю в
>зашифрованном виде , на клиенте создаёться новоё соединение с адресом
>из пула , но всё идёт всё равно по туннелю, можешь
>хоть 1.1.1.1 поставить всё равно должно работать , и роутиться это
>будет нормально, связь будет внутрянняя сеть с этими фейковыми адресами ,
>а вообще чем конфиг мой не устраивает ? попробуй и посмотри
>разницу. Хахахахахах ) блин ты назначал адреса пула такие же как у тебя в локалке ))) кхе представь на двух интервейсах одна и та же сетка прописана маршрутизатор этого не допустит., я тоже мучался долго пока не понял в чём вишка, пример с натом у меня для разворота написан был .
Может я не прав и можно выдавать адреса из пула внутренней сети но у меня не вышло. Через нат я думаю можно пробиваться на твой внутьренний адрес. Да и покажи пожалуйста какой у тебя конфиг теперь , я их для потомства отбираю) Ну в основном для себя.
|
