на интерфейсе смотрящим в интернет 2 крипто карты, 2 тунеля
с удаленной сети VPN клиент 10.0.113.0/25 приходит по 1му туннелю
на маршрутизатор cisco, тут его нужно занатить и отправить по 2му туннелю
уже с новым адресом, потому что по туннелю№2 определенные айпи только идут(см. акл2000) vpn_client-->туннель№1-->туннель№2-->удаленный_сервер
10.0.113.2 | 2 туннеля на cisco | 10.250.0.11
напрмер адрес с сети:
пришел с 10.0.113.2 ушел в туннель №2 с адресом 10.250.34.129
как сделать не могу сообразить
то что я набрал в конфигурации не работает, не натиться
crypto map CRYPTO 60 ipsec-isakmp
description 1й туннель
set peer XXX.XXX.XXX.XXX
set transform-set 3DES-SHA
match address 2333
crypto map CRYPTO 99 ipsec-isakmp
description 2й туннель
set peer YYY.YYY.YYY.YYY
set transform-set 3DES-SHA
set pfs group2
match address 2000
ip nat pool ATM 10.250.34.129 10.250.34.253 prefix-length 24
ip nat inside source list 102 pool ATM overload
ip route 10.250.0.0 255.255.255.0 шлюз_провайдера
access-list 2333 permit ip host 10.250.0.11 10.0.113.0 0.0.0.127
access-list 2333 permit ip host 10.250.34.17 10.0.113.0 0.0.0.127
access-list 2000 permit ip 10.250.34.0 0.0.0.255 10.250.0.0 0.0.0.255
access-list 102 permit tcp host 10.0.113.2 host 10.250.0.11 eq 3333
10.250.0.0/24 - удаленная сеть
адреса с локальной сети подключенной к маршрутизатору, натяться нормально
и идут по 2му тунелю с нужным адресом из сети 10.250.34.0
а вот VPN клиенты, которые пришли по первому тунелю, не натяться, как их занатить правильно?
Или как можно на loopback интерфейсе, организовать нат? с роутера vpn клиенты 10.0.113.0/24 пингуются только с 10.250.34.17