>>>Кстати не Организация защиты сетей Cisco книжка ?? видел я этот пример >>>- правда он сумбурно разобран был ... как бы надо было >>>из кусочков собирать , из разных глав, может ты какой кусочек >>>забыл например динамическую карту прописать . В принципе я смотрел по >>>форумам и на cisco.com >> >> >>да нет, это статья с cisco.com >>отконфигурить не забыл, забыл сюда вставить в письмо :-) >>сам то тунель работает, все коннектится.. не работает роутинг в локальную сеть.. >>я уж и так и сяк... >> >>странно, 100% мой пример (ну кроме радиуса) вот здесь http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con... >> >>там чуть другим путем мапу обозначили, но суть не меняется... все также >>работает, роутинг не идет. >> >> >> >>crypto isakmp policy 10 >> encr 3des >> authentication pre-share >> group 2 >>! >>crypto isakmp client configuration group testgroup >> key cisco321 >> dns xxx.xxx.76.6 xxx.xxx.77.6 >> wins 192.168.1.1 >> domain logika.ru >> pool ippool >> acl 100 >>crypto isakmp profile VPNclient >> description VPN clients profile >> match identity group testgroup >> client authentication list clientauth >> isakmp authorization list groupauthor >> client configuration address respond >>! >>! >>crypto ipsec transform-set myset esp-3des esp-sha-hmac >>! >>crypto dynamic-map dynmap 5 >> set transform-set myset >> set isakmp-profile VPNclient >>! >>! >>crypto map mymap 10 ipsec-isakmp dynamic dynmap > >Вот в динамическую карту добавь, > >crypto dynamic-map DM 10 >set transform-set TS >reverse-route - вот это > >qos pre-classify - вот это > >Пулл адресов задай фейковый ченить там бла бла бла >маршрут один оставь по умолчанию , команды в крипто мапе сделают своё >дело, и убери этот ACL 100 я пока в нём >не разобрался как работает тоже ничё не ходило. У тебя адреса >с пула роли никакой не играют они идут по туннелю в >зашифрованном виде , на клиенте создаёться новоё соединение с адресом >из пула , но всё идёт всё равно по туннелю, можешь >хоть 1.1.1.1 поставить всё равно должно работать , и роутиться это >будет нормально, связь будет внутрянняя сеть с этими фейковыми адресами , >а вообще чем конфиг мой не устраивает ? попробуй и посмотри >разницу. Хахахахахах ) блин ты назначал адреса пула такие же как у тебя в локалке ))) кхе представь на двух интервейсах одна и та же сетка прописана маршрутизатор этого не допустит., я тоже мучался долго пока не понял в чём вишка, пример с натом у меня для разворота написан был . Может я не прав и можно выдавать адреса из пула внутренней сети но у меня не вышло. Через нат я думаю можно пробиваться на твой внутьренний адрес. Да и покажи пожалуйста какой у тебя конфиг теперь , я их для потомства отбираю) Ну в основном для себя.
|