https://www.opennet.ru/openforum/vsluhforumID6/874.html crypto isakmp policy 1 <br> encr 3des <br> authentication pre-share <br> group 2 <br>crypto isakmp key XXXXXXXXXXXXXXXXXXXXXXXXX address 1111111111111111111 <br>crypto isakmp invalid-spi-recovery <br>crypto isakmp keepalive 10 <br>crypto isakmp aggressive-mode disable <br>! <br>! <br>crypto ipsec transform-set 3DES-SHA esp-3des esp-sha-hmac <br> mode tunnel <br>crypto ipsec df-bit clear <br>! <br>! <br>! <br>crypto map MMMM 10 ipsec-isakmp <br> description MRV <br> set peer 11111111111111111111111 <br> set transform-set 3DES-SHA <br> set pfs group2 <br> match address 2198 <br> reverse-route static <br>! <br>! <br>! <br>! <br>! <br>interface Loopback1 <br> no ip address <br>! <br>interface FastEthernet0 <br> no ip address <br>! <br>interface FastEthernet1 <br> no ip address <br>! <br>interface FastEthernet2 <br> no ip address <br>! <br>interface FastEthernet3 <br> no ip address <br>! <br>interface FastEthernet4 <br> ip address 22222222222222222 255.255.255.252 <br> ip nat outside <br> ip virtual-reassembly in <br> duplex auto <br> speed auto <br> crypto map MMMM <br> crypto ipsec df-bit clear <br>! <br>interface https://www.opennet.ru/openforum/vsluhforumID6/874.html#4 Fri, 19 Jul 2013 13:41:24 GMT term mon<br>debug crypto isakmp<br>debug crypto ipsec<br> https://www.opennet.ru/openforum/vsluhforumID6/874.html#3 Fri, 19 Jul 2013 13:38:19 GMT &gt;&gt; ip nat inside source list for_pat interface FastEthernet4 overload <br>&gt; здесь надо объявлять NAT через route-map, где запретить натить трафик между внутренними <br>&gt; адресами, а разрешить весь оставшийся трафик <br>&gt;&gt; ip route 0.0.0.0 0.0.0.0 333333333333333333333333333 <br>&gt;&gt; ip access-list extended for_pat <br>&gt;&gt; deny ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255 <br>&gt;&gt; permit ip 10.255.98.0 0.0.0.255 any <br><br>и без роутмапов все должно работать<br> https://www.opennet.ru/openforum/vsluhforumID6/874.html#2 Thu, 18 Jul 2013 07:59:53 GMT &gt;[оверквотинг удален]<br>&gt; здесь надо объявлять NAT через route-map, где запретить натить трафик между внутренними <br>&gt; адресами, а разрешить весь оставшийся трафик <br>&gt;&gt; ip route 0.0.0.0 0.0.0.0 333333333333333333333333333 <br>&gt;&gt; ip access-list extended for_pat <br>&gt;&gt; deny ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255 <br>&gt;&gt; permit ip 10.255.98.0 0.0.0.255 any <br>&gt;&gt; access-list 2198 remark CCCC <br>&gt;&gt; access-list 2198 permit ip 10.255.98.0 0.0.0.255 10.255.0.0 0.0.0.255 <br>&gt; здесь надо разрешать gre между внешними адресами, а не весь трафик между <br>&gt; внутренними <br><br>стоп, у вас нет gre, поэтому оставляйте так как есть<br>&gt;[оверквотинг удален]<br>&gt;&gt; login local <br>&gt;&gt; transport input ssh <br>&gt;&gt; !<br>&gt;&gt; !<br>&gt;&gt; end <br>&gt;&gt; ZK# <br>&gt;&gt; не могу разобраться с аксес-листами, убираю нат, поднимается туннель, ставлю - пропадает.<br>&gt;&gt; подскажите где ошибка???<br>&gt;&gt; нужно чтобы работал Nat и поднимался IPsec туннель.<br>&gt;&gt; 10.255.0.0 0.0.0.255 - сеть на другой стороне тунеля <br><br> https://www.opennet.ru/openforum/vsluhforumID6/874.html#1 Thu, 18 Jul 2013 07:45:11 GMT &gt;[оверквотинг удален]<br>&gt; interface Vlan1 <br>&gt; ip address 10.255.98.1 255.255.255.0 <br>&gt; ip nat inside <br>&gt; !<br>&gt; ip forward-protocol nd <br>&gt; no ip http server <br>&gt; no ip http secure-server <br>&gt; !<br>&gt; !<br>&gt; ip nat inside source list for_pat interface FastEthernet4 overload <br><br>здесь надо объявлять NAT через route-map, где запретить натить трафик между внутренними адресами, а разрешить весь оставшийся трафик<br><br>&gt; ip route 0.0.0.0 0.0.0.0 333333333333333333333333333 <br>&gt; ip access-list extended for_pat <br>&gt; deny ip 10.250.98.0 0.0.0.255 10.255.0.0 0.0.0.255 <br>&gt; permit ip 10.255.98.0 0.0.0.255 any <br>&gt; access-list 2198 remark CCCC <br>&gt; access-list 2198 permit ip 10.255.98.0 0.0.0.255 10.255.0.0 0.0.0.255<br><br>здесь надо разрешать gre между внешними адресами, а не весь трафик между внутренними <br>&gt;[оверквотинг удален]<br>&gt; login local <br>&gt; transport input ssh <br>&gt; !<br>&gt; !<br>&gt; end <br>&gt; ZK# <br>&gt; не могу разобраться с аксес-листами, убираю нат, поднимается туннель, ставлю - пропадает. <br>&gt; подскажите где ошибка???<br>&gt; нужно чтобы ра