на интерфейсе смотрящим в интернет 2 крипто карты, 2 тунеля
с удаленной сети VPN клиент 10.0.113.0/25 приходит по 1му туннелю
на маршрутизатор cisco, тут его нужно занатить и отправить по 2му туннелю
уже с новым адресом, потому что по туннелю№2 определенные айпи только идут(см. акл2000)vpn_client-->туннель№1-->туннель№2-->удаленный_сервер
10.0.113.2 | 2 туннеля на cisco | 10.250.0.11напрмер адрес с сети:
пришел с 10.0.113.2 ушел в туннель №2 с адресом 10.250.34.129как сделать не могу сообразить
то что я набрал в конфигурации не работает, не натитьсяcrypto map CRYPTO 60 ipsec-isakmp
description 1й туннель
set peer XXX.XXX.XXX.XXX
set transform-set 3DES-SHA
match address 2333crypto map CRYPTO 99 ipsec-isakmp
description 2й туннель
set peer YYY.YYY.YYY.YYY
set transform-set 3DES-SHA
set pfs group2
match address 2000
ip nat pool ATM 10.250.34.129 10.250.34.253 prefix-length 24
ip nat inside source list 102 pool ATM overloadip route 10.250.0.0 255.255.255.0 шлюз_провайдера
access-list 2333 permit ip host 10.250.0.11 10.0.113.0 0.0.0.127
access-list 2333 permit ip host 10.250.34.17 10.0.113.0 0.0.0.127access-list 2000 permit ip 10.250.34.0 0.0.0.255 10.250.0.0 0.0.0.255
access-list 102 permit tcp host 10.0.113.2 host 10.250.0.11 eq 3333
10.250.0.0/24 - удаленная сеть
адреса с локальной сети подключенной к маршрутизатору, натяться нормально
и идут по 2му тунелю с нужным адресом из сети 10.250.34.0
а вот VPN клиенты, которые пришли по первому тунелю, не натяться, как их занатить правильно?Или как можно на loopback интерфейсе, организовать нат? с роутера vpn клиенты 10.0.113.0/24 пингуются только с 10.250.34.17
предположение наобум в лоб: у вас на внешнем интерфейсе висит ip nat outside -> нужно делать ip nat outside source