Такая ситуация...
С одной стороны Linux c ip-адресами:
интернетовским - A.A.A.A и локальным - 192.168.3.10
С другой стороны Cisco ASA 5505 с адресами:
B.B.B.B и 192.168.101.2
Между ними поднят VPN-туннель с IPSec... сети 192.168.3.0/24 (это офис где Linux) и 192.168.101.0/24 (это где Cisco) друг друга видят, трафик ходит, всё нормально...
В офисе где Linux есть еще пару сетей к примеру 192.168.1.0/24, 192.168.2.0/24... Как дать доступ этим сетям к сети 192.168.101.0/24... как на циске указать чтобы трафик для этих сетей слался через туннель на 192.168.3.10... Мучаюсь уже давно с этим ничего не получается... на линуксе запускаю tcpdump трафика вообще не появляется, то есть получается через циску не проходит....

• Маршрутизация VPN,Stupidity, 06:35 , 03-Сен-08
• Маршрутизация VPN,Stupidity, 13:12 , 03-Сен-08
  • Маршрутизация VPN,ural_sm, 13:28 , 03-Сен-08
    • Маршрутизация VPN,Stupidity, 14:08 , 03-Сен-08
    • Маршрутизация VPN,Stupidity, 14:14 , 03-Сен-08
    • Маршрутизация VPN,Stupidity, 14:42 , 03-Сен-08
      • Маршрутизация VPN,ural_sm, 14:55 , 03-Сен-08
        • Маршрутизация VPN,Stupidity, 15:29 , 03-Сен-08
    • Маршрутизация VPN,Stupidity, 15:38 , 03-Сен-08
      • Маршрутизация VPN,ural_sm, 15:40 , 03-Сен-08
        • Маршрутизация VPN,Stupidity, 04:16 , 04-Сен-08
          • Маршрутизация VPN,ural_sm, 09:52 , 04-Сен-08
            • Маршрутизация VPN,Stupidity, 11:21 , 04-Сен-08
• Маршрутизация VPN,Stupidity, 07:01 , 05-Сен-08
  • Маршрутизация VPN,ural_sm, 09:42 , 05-Сен-08

С других компьютеров в сети 192.168.3.0/24 через 192.168.3.10 сеть 101.0/24 видится...
Подскажите как это вообще должно правильно быть? Что где глянуть?

Еще хочу дополнить... Схема получается примерно такая:

[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1]

Так вот пинги с Comp1(192.168.3.10) идут на Comp3(192.168.101.1)
С Comp2 тоже пинги идут на Comp3... Но если на Comp2 ввожу пинг так:
ping -I 192.168.1.241 192.168.101.1
т.е. с интерфейса в сети 192.168.1.0... пинги не идут....
Помоги кто-нить... У мня уже руки опускаются... мучаюсь уже... Проблема как я понимаю в настройках цыски...

С обеих сторон дописать на АСЛ который выбирает трафик и привязан к криптомапе
эти сети 192.168.1.0/24, 192.168.2.0/24
ну естесно не забыть NONAT сделать на них, разрешить хождение трафика соответствующими АСЛ на интерфейсах

>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к
>криптомапе
>эти сети 192.168.1.0/24, 192.168.2.0/24

Прошу прощения... :) ... А можно подробней?

>ну естесно не забыть NONAT сделать на них,

Ага, из ната исключал...

>разрешить хождение трафика соответствующими
>АСЛ на интерфейсах

На фаерволе всё разрешено...

А маршруты нужно какие-нить на цыске добавить?
Был прописан только маршрут по-умолчанию на интернетовский шлюз провайдера...

>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к
>криптомапе
>эти сети 192.168.1.0/24, 192.168.2.0/24

Добавил в конфиге теперь
access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
Измений нет... я до этого уже проделывал такое...

>>С обеих сторон дописать на АСЛ который выбирает трафик и привязан к
>>криптомапе
>>эти сети 192.168.1.0/24, 192.168.2.0/24
>
>Добавил в конфиге теперь
>access-list outside_cryptomap_23 extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
>Измений нет... я до этого уже проделывал такое...

На linux надеюсь тоже добавил? Шлюзы?
покажи sh crypto ipsec sa

Result of the command: "sh crypto ipsec sa"

interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B

      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: A.A.A.A

      #pkts encaps: 210, #pkts encrypt: 210, #pkts digest: 210
      #pkts decaps: 273, #pkts decrypt: 273, #pkts verify: 273
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 210, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 0

      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 06D2F9C3

    inbound esp sas:
      spi: 0xA3BEE1A2 (2747195810)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 32, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274864/28351)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x06D2F9C3 (114489795)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 32, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274949/28351)
         IV size: 8 bytes
         replay detection support: Y

По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?...

>По-моему чо-то неправильно... Это что, получается будет три vpn туннеля? со 101-ой
>сети к 1-ой, 2-ой и 3-ей?... Или туннель один будет?...

Туннель будет один но в него будет загнан трафик отвечающий требованиям АСЛ
то есть три сети. И на обратной стороне так же.

access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list outside_20_cryptomap permit ip 192.168.1.0 255.255.255.0 192.168.3.0
255.255.255.0
access-list outside_20_cryptomap permit ip 192.168.2.0 255.255.255.0 192.168.3.0 255.255.255.0

а потом смотри по  sh crypto ipsec sa

Так, всё проверил еще раз, настроил... есть изменения... но теперь я вообще не понимаю что происходит...

[Comp2:192.168.1.241/192.168.3.241] -- [Comp1:192.168.3.10/A.A.A.A] ===={Internet}==== [CiscoASA:B.B.B.B/192.168.101.2] -- [Comp3:192.168.101.1]

Останавливаю на Линуксе racoon... всё... туннелей нет... у Циски в ASDM написано "IKE: 0 IPSec: 0"
Запускаю racoon...
С сети 192.168.1.0/24 (Это которая за линуксовым шлюзом и за его 3-ей сетью) запускаю пинг в сеть 192.168.101.0/24 (которая за циской) - поднимается туннель, пинги идут... в ASDM появляется надпись "IKE: 1 IPSec: 1"...
Но при этом пинги с сети 192.168.3.0/24 в сеть 192.168.101.0/24 не идут!!! :( Даже с самого линуксового-шлюза (192.168.3.10).
Далее провожу такое... при такой ситуации запускаю пинг с сети 192.168.101.0 в сеть 3.0... пинги начинают идти, но трафик с сетью 192.168.1.0 тут же обрывается... и всё, теперь только связь есть между 101 и 3...
А циске пишет "IKE: 1 IPSec: 2"
Это как понимать? Туннель один же должен быть?
Вывод команды "sh crypto ipsec sa"
:

interface: outside
    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B

      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
      current_peer: A.A.A.A

      #pkts encaps: 125, #pkts encrypt: 125, #pkts digest: 125
      #pkts decaps: 442, #pkts decrypt: 121, #pkts verify: 121
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 125, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 321

      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 0FFBA690

    inbound esp sas:
      spi: 0x753A1D59 (1966742873)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (sec): 28400
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x0FFBA690 (268150416)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (sec): 28400
         IV size: 8 bytes
         replay detection support: Y

    Crypto map tag: outside_map, seq num: 20, local addr: B.B.B.B

      access-list outside_20_cryptomap permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
      local ident (addr/mask/prot/port): (192.168.101.0/255.255.255.0/0/0)
      remote ident (addr/mask/prot/port): (192.168.3.0/255.255.255.0/0/0)
      current_peer: 81.2.1.10

      #pkts encaps: 1073, #pkts encrypt: 1073, #pkts digest: 1073
      #pkts decaps: 1020, #pkts decrypt: 1018, #pkts verify: 1018
      #pkts compressed: 0, #pkts decompressed: 0
      #pkts not compressed: 1073, #pkts comp failed: 0, #pkts decomp failed: 0
      #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
      #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
      #send errors: 0, #recv errors: 2

      local crypto endpt.: B.B.B.B, remote crypto endpt.: A.A.A.A

      path mtu 1500, ipsec overhead 58, media mtu 1500
      current outbound spi: 06E47DB9

    inbound esp sas:
      spi: 0x6C811878 (1820399736)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274893/28574)
         IV size: 8 bytes
         replay detection support: Y
    outbound esp sas:
      spi: 0x06E47DB9 (115637689)
         transform: esp-3des esp-sha-hmac none
         in use settings ={L2L, Tunnel, PFS Group 2, }
         slot: 0, conn_id: 49, crypto-map: outside_map
         sa timing: remaining key lifetime (kB/sec): (4274693/28574)
         IV size: 8 bytes
         replay detection support: Y

Причем, если пустить трафик сначала с 3-ей сети, создастся туннель, а потом с 1-ой... в итоге ситуация получается с точность наоборот... с 3-ей сетью связь прекращается, с 1-ой продолжает работать и тоже "IKE: 1 IPSec: 2"...

Правила ipsec на циске вот так прописаны...

access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0

На Линухе:
в /etc/racoon/racoon.conf
    remote B.B.B.B {
        exchange_mode main;
    lifetime time 1440 min;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
    }

    sainfo address 192.168.3.0/24 any address 192.168.101.0/24 any {
    lifetime time 1440 min;
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }

    sainfo address 192.168.1.0/24 any address 192.168.101.0/24 any {
    lifetime time 1440 min;
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
    }

в /etc/ipsec-tools.conf
    spdadd 192.168.3.0/24 192.168.101.0/24 any -P out ipsec
        esp/tunnel/81.2.1.10-82.162.157.77/require;

    spdadd 192.168.101.0/24 192.168.3.0/24 any -P in ipsec
        esp/tunnel/82.162.157.77-81.2.1.10/require;

    spdadd 192.168.99.0/24 192.168.101.0/24 any -P out ipsec
        esp/tunnel/81.2.1.10-82.162.157.77/require;

    spdadd 192.168.101.0/24 192.168.99.0/24 any -P in ipsec
        esp/tunnel/82.162.157.77-81.2.1.10/require;

Вроде ж всё правильно??

>
>access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0
>access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.99.0 255.255.255.0

access-list outside_20_cryptomap  нет 3.0 сетки

Не, там всё нормально... эт опечатка... там:
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.3.0 255.255.255.0
access-list outside_20_cryptomap extended permit ip 192.168.101.0 255.255.255.0 192.168.1.0 255.255.255.0

Народ, ну помогите!
Проблема в итоге уперлась в такую ситуацию:

С одной стороны Linux c ip-адресами:
интернетовским - A.A.A.A и локальным - 192.168.3.10
С другой стороны Cisco ASA 5505 с адресами:
B.B.B.B и 192.168.101.2

Между ними поднят VPN-туннель с IPSec... сети 192.168.3.0/24 (это офис где Linux) и 192.168.101.0/24 (это где Cisco) друг друга видят, трафик ходит, всё нормально...

В офисе где Linux есть еще пару сетей для примера возьмём 192.168.99.0/24...

Как сделать чтобы обе сети 192.168.3.0/24 и сеть 192.168.99.0/24 видели сеть 192.168.101.0/24???

После махинаций получилось следующее - после запуска racoon на линуксе, из какой сети я пинги запускаю в 101-ую сеть с той туннель и устанавливается, и с другой сети пинги трафик не ходит.
Конфиги racoon и ipsec в предыдущем посте...

Прошу помощи, подсказок!!!

>Народ, ну помогите!
>Прошу помощи, подсказок!!!

Во первых у тебя в выводе sh crypto ipsec sa нет сведений о 99.0 сети, что говорит о то  что ты не включил эту сеть в АСЛ для криптомапы.
Смотри должно быть так:
Хост типа  99.10 пингует  101.10 шлюз у него линукс (типа 99.1). Он видит что этот трафик надо затолкнуть в  ipsec туннель (наcтройки racoona).
Там ASA смотрит криптомапу и и распаковыет и шлет по назначению.
То есть в криптомапах на обеих сторонах должен быть интересующий трафик.
Вот и все. У меня такая связка работает, правда с одной 3640 и ASA c другой.