Вообщем уже устал бороться :( Есть кошка, на ней поднять ВПН сервер... Удаленно конекчусь Windows Cisco VPN Client, все проходит, тунель поднимается... но ни один адрес в сети не вижу :( В чём могут быть грабли? Еще на втором интерфейсе висит ВПН с другим криптом-мапом для соеденения Cisco-Cisco работает без проблем!вот конфиг
aaa new-model
!
!
aaa authentication login default local
aaa authorization network default local
aaa authorization network vpn localcrypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp client configuration group vpnc1
key 123
dns 192.168.0.220 192.168.0.221
domain cvpn1.local
pool ipvpn1
acl 100
save-password
include-local-lan
netmask 255.255.255.0
crypto isakmp profile vpnc1
description VPN clients profile
match identity group vpnc1
isakmp authorization list vpn
client configuration address respond
crypto ipsec transform-set vpn esp-3des esp-sha-hmaccrypto dynamic-map dynmap-ex 5
set transform-set vpn
set isakmp-profile vpnc1
reverse-route
crypto map VPN-EXT 10 ipsec-isakmp dynamic dynmap-ex
interface GigabitEthernet0/0
ip address 192.168.0.233 255.255.255.0 secondary
ip address 1.1.1.1 255.255.255.240
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed 100
no cdp enable
no arp arpa
no mop enabled
crypto map VPN-EXTip local pool ipvpn1 192.168.30.1
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
маршрут сети из пула адресов 192.168.30.x рутишь ? Куда ?
>маршрут сети из пула адресов 192.168.30.x рутишь ? Куда ?
30.х должен рутиться в 192.168.0.0 пробывал и прописывать роут и не прописывать... не помогало...
>маршрут сети из пула адресов 192.168.30.x рутишь ? Куда ?
Дело еще в том что внутрений айпи сети висит на етомже интерфейсе как вторичный... повесить на другой интерфейс не получиться так как некуда :( а зарутить непонятно как... по идее при соеднинении я должен видеть как минимум етот интерфейс
If static and dynamic peers are configured on the same crypto map, the order of the crypto map entries is very important. The sequence number of the dynamic crypto map entry must be higher than all of the other static crypto map entries. If the static entries are numbered higher than the dynamic entry, connections with those peers fail.http://www.cisco.com/en/US/products/ps6120/products_tech_not...
там еще есть чего почитать ...
>If static and dynamic peers are configured on the same crypto map,
>the order of the crypto map entries is very important. The
>sequence number of the dynamic crypto map entry must be higher
>than all of the other static crypto map entries. If the
>static entries are numbered higher than the dynamic entry, connections with
>those peers fail.
>
>http://www.cisco.com/en/US/products/ps6120/products_tech_not...
>
>там еще есть чего почитать ...
Плюнул на все ето... вернул все обратно в тот криптомап что работает... только вот тут трабл с которым борюсь давно...
белый внешний айпи стоит как секондари, второй айпи который праймари стоит серый выделенный провом в своей закрытой сети... естесно если я бегу на белый айпи он меня не пустит так как он праймари :( кто-то борол такое уже?