Проблема в следующем. Большой торговый центр, с которым у нас построен ipsec туннель выдал нам настройки туннеля. В этих настройках указано, что пропускать в туннель он будет только: 10.123.0.0 255.255.255.252 (понимаю, что хорошо было бы gre over ipsec, но админы торг.центра просто настроили у себя так: access-list ACL-COMPANY extended permit ip 10.0.0.0 255.0.0.0 10.123.0.0 255.255.255.252). При этом наша внутренняя сеть, которая должна иметь доступ к торговому центру (10.0.0.0): 192.168.1.0/24
Единственный вариант, который я нашел - это прописать на интерфейсе secondary ip: 10.123.0.2 и настроить NAT: 192.168.1.0/24 -> 10.123.0.2
Однако данная схема как-то странно работает. Если сделать reload, то все пакеты ломятся в мир, а не в туннель. Подскажите, может, я где ошибся? Вот конфиг:ip nat pool TORG-CENTR-POOL 10.123.0.2 10.123.0.2 prefix-length 30
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source route-map TORG-CENTR-RM pool TORG-CENTR-POOL overloadroute-map TORG-CENTR-RM permit 0
match ip address 102
!
route-map SDM_RMAP_1 permit 1
match ip address 103access-list 102
permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255access-list 103
deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
permit ip 192.168.1.0 0.0.0.255 any
конфиг полностью дайте
>конфиг полностью дайте!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gate
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3265806284
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-3265806284
revocation-check none
rsakeypair TP-self-signed-3265806284
!
!
crypto pki certificate chain TP-self-signed-3265806284
certificate self-signed 01
30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
......
quit
dot11 syslog
ip cef
!
!
!
!
ip domain name xxxxx
ip name-server xxx.xxx.xxx.xxx
ip name-server yyy.yyy.yyy.yyy
!
multilink bundle-name authenticated
!
!
username admin privilege 15 secret 5 xxxxxxxxxxxxxxxxx
!
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxxxx address IP1
!
crypto ipsec security-association lifetime seconds 86400
!
crypto ipsec transform-set TS1 esp-3des esp-md5-hmac
!
crypto map static-map 2 ipsec-isakmp
description Tunnel to IP1
set peer IP1
set transform-set TS1
match address 101
!
archive
log config
hidekeys
!
!
!
!
!
interface Loopback0
no ip address
!
interface FastEthernet0/0
description WAN
ip address IP2 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map static-map
crypto ipsec df-bit clear
!
interface FastEthernet0/1
description LAN
ip address 10.123.0.2 255.255.255.252 secondary
ip address 192.168.1.29 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 IP3
!
ip nat pool TS1 10.123.0.2 10.123.0.2 prefix-length 30
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet0/0 overload
ip nat inside source route-map TS1-rm pool TS1 overload
!
ip access-list extended TS1-al
permit ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
!
access-list 100 permit ip any any
access-list 101 permit ip 10.123.0.0 0.0.0.3 10.0.0.0 0.255.255.255
access-list 102 deny ip 192.168.1.0 0.0.0.255 10.0.0.0 0.255.255.255
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
!
route-map TS1-rm permit 0
match ip address TS1-al
!
route-map SDM_RMAP_1 permit 1
match ip address 102
!
!
!
!
control-plane
!
!
!
line con 0
login local
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
line vty 5 15
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end
IP1: адрес торгового центра
IP2: мой адрес
IP3: мой GW