https://www.opennet.ru/openforum/vsluhforumID6/19621.html Добрый день! Проблема в следующем.. Есть pix515 в качестве vpn сервера и cisco871 в качестве клиента. Нужно сделать так что бы при обращении к корпоративной сети пакеты шли в туннель без ната.А если к внешним ресурсам, то соответвенно через нат во внешний интерфейс.<br>Делал как в примерах на cisco.com типа вот этого http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080809222.shtml... не выходит каменный цветок.<br><br>вот куски конфигов:<br><br>с871<br><br>ip dhcp excluded-address 172.16.160.1 <br>! <br>ip dhcp pool dhcp-pool <br> network 172.16.160.0 255.255.255.0 <br> default-router 172.16.160.1 <br> dns-server 192.168.18.34 192.168.18.16 192.168.18.18 <br> lease 2 https://www.opennet.ru/openforum/vsluhforumID6/19621.html#7 Thu, 17 Sep 2009 11:44:37 GMT &gt;&gt;ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку <br>&gt;&gt;не попадаю.. потому как он тоже пытается натить. Косяк гдето видать <br>&gt;&gt;в роут мапах <br>&gt;<br>&gt;Спецы.. ну подскажите где косяк.. а то я уже запутался... <br><br>Намедни решал подобную задачу. Циска была PPTP клиентом. Нужно было натить в опорную сеть (скажем 10.0.0.0/8) и в инет (скажем Dialer0). Проблема была решена 2-мя роутмапами (скажем первый: из 192.168.1.0/24 в 10.0.0.0/8 через шлюз в 10.0.0.0/8 и второй: из 192.168.1.0/24 в аny через Dialer0) которые были указаны в ip nat inside... (к интерфейсам роут-мапы не привязываются)<br><br> https://www.opennet.ru/openforum/vsluhforumID6/19621.html#6 Wed, 16 Sep 2009 10:45:16 GMT &gt;&gt;&gt;ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку <br>&gt;&gt;&gt;не попадаю.. потому как он тоже пытается натить. Косяк гдето видать <br>&gt;&gt;&gt;в роут мапах <br>&gt;&gt;<br>&gt;&gt;Спецы.. ну подскажите где косяк.. а то я уже запутался... <br>&gt;<br>&gt;http://www.ciscolab.ru/2007/02/20/ioseasyvpn_pix.html <br><br>Однако не совсем то это.. там например нет ната на 831<br> https://www.opennet.ru/openforum/vsluhforumID6/19621.html#5 Wed, 16 Sep 2009 07:39:57 GMT &gt;&gt;ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку <br>&gt;&gt;не попадаю.. потому как он тоже пытается натить. Косяк гдето видать <br>&gt;&gt;в роут мапах <br>&gt;<br>&gt;Спецы.. ну подскажите где косяк.. а то я уже запутался... <br><br>http://www.ciscolab.ru/2007/02/20/ioseasyvpn_pix.html<br> https://www.opennet.ru/openforum/vsluhforumID6/19621.html#4 Wed, 16 Sep 2009 07:03:03 GMT &gt;ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку <br>&gt;не попадаю.. потому как он тоже пытается натить. Косяк гдето видать <br>&gt;в роут мапах <br><br>Спецы.. ну подскажите где косяк.. а то я уже запутался... <br> https://www.opennet.ru/openforum/vsluhforumID6/19621.html#3 Tue, 15 Sep 2009 11:12:42 GMT ПРичем туннель устанавливается, во внешний мир хожу через нат.. в корпоративную сетку не попадаю.. потому как он тоже пытается натить. Косяк гдето видать в роут мапах<br> https://www.opennet.ru/openforum/vsluhforumID6/19621.html#2 Tue, 15 Sep 2009 11:06:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;interface BVI1 <br>&gt;&gt; ip address 172.16.160.1 255.255.255.0 <br>&gt;&gt; ip access-group 100 out <br>&gt;&gt; ip nat inside <br>&gt;&gt; ip virtual-reassembly <br>&gt;&gt; crypto ipsec client ezvpn vpn inside <br>&gt;<br>&gt; Куда-то не туда вы прикрутили ipsec <br>&gt; Вы уж полный конфиг покажите. <br>&gt;<br><br>Прикрутил я правильно... интерфейсы dot11radio0 и vlan 1 объеденены в бридж интерфейс bvi 1<br><br>bridge irb<br>!<br>interface FastEthernet0<br>!<br>interface FastEthernet1<br>!<br>interface FastEthernet2<br>!<br>interface FastEthernet3<br>!<br>!<br>interface Dot11Radio0<br> no ip address<br> !<br> encryption key 1 size 40bit 0 1029384756 transmit-key<br> encryption mode wep mandatory<br> !<br> ssid wifi<br> authentication open<br> guest-mode<br> !<br> speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0<br> channel 2472<br> antenna receive left<br> antenna transmit right<br> station-role root<br> bridge-group 1<br> bridge-group 1 subscriber-loop-control<br> bridge-group 1 spanning-disabled<br> bridge-group 1 block-unknown-source<br> no bridge-group 1 source- https://www.opennet.ru/openforum/vsluhforumID6/19621.html#1 Tue, 15 Sep 2009 10:55:12 GMT &gt;[оверквотинг удален]<br>&gt; crypto ipsec client ezvpn vpn <br>&gt;<br>&gt;<br>&gt;<br>&gt;interface BVI1 <br>&gt; ip address 172.16.160.1 255.255.255.0 <br>&gt; ip access-group 100 out <br>&gt; ip nat inside <br>&gt; ip virtual-reassembly <br>&gt; crypto ipsec client ezvpn vpn inside <br><br> Куда-то не туда вы прикрутили ipsec<br> Вы уж полный конфиг покажите.<br><br><br><br>&gt;[оверквотинг удален]<br>&gt; lifetime 86400 <br>&gt;crypto isakmp nat-traversal 20 <br>&gt;<br>&gt;<br>&gt;tunnel-group vpnadmingroup type ipsec-ra <br>&gt;tunnel-group vpnadmingroup general-attributes <br>&gt; default-group-policy vpnadmingroup <br>&gt;tunnel-group vpnadmingroup ipsec-attributes <br>&gt; pre-shared-key * <br>&gt; isakmp ikev1-user-authentication none <br><br>