Здраствуй All
Помогите разобраться где грабли.
Есть две сетки.
Между ними настроен VPN.
Все работает до тех пор пока не включаю access-list на Interface Serial0
Причем с другой сетки VPN продолжает работать, а от меня нет.
привожу сам лист.

ip access-list extended fff_in
deny   icmp any any redirect log
deny   icmp any any echo log
permit icmp any any
permit tcp any any eq ident
permit tcp any any established
permit udp any any eq domain
permit udp any eq domain any
permit tcp any any eq domain
permit tcp any eq domain any
permit tcp any any eq www
permit tcp any any eq 32000
permit tcp any any eq ftp-data
permit tcp any any eq pop3
permit tcp any any eq smtp
permit tcp any eq ftp-data any gt 1023
permit tcp any any eq 1723
permit udp any any eq isakmp
permit udp any any eq 1701  
deny   ip any any log

Что еще не открыл для VPN?

• CISCO и VPN,lomo, 12:47 , 13-Мрт-03
  • CISCO и VPN,Alex77, 15:46 , 13-Мрт-03

Вообще говоря, фильтры выглядят еще несовершенно :-)

> permit tcp any any eq 1723
если эта строка для MS PPTP, то надо еще разрешить протокол gre (47)

> permit udp any any eq isakmp
Если это для IpSec, то этого недостаточно.
Надо еще разобраться с протоколами esp и ah (смотря что Вы пользуете)..

> deny   ip any any log
>

В лог-то должно попадать. Настройте syslog и посмотрите что происходит.

>Вообще говоря, фильтры выглядят еще несовершенно :-)
>

Если есть предложения по фильтрам принимаются на ура

>> permit tcp any any eq 1723
>если эта строка для MS PPTP, то надо еще разрешить протокол gre
>(47)

для MS PPTP
добавил permit gre host x.x.x.x host y.y.y.y
заработало.

>
>> permit udp any any eq isakmp
>Если это для IpSec, то этого недостаточно.
>Надо еще разобраться с протоколами esp и ah (смотря что Вы пользуете)..
>
>
>> deny   ip any any log
>>
>
>В лог-то должно попадать. Настройте syslog и посмотрите что происходит.

Спасибо за совет в трудную минуту :)))