Здравствуйте!

Есть две ЛВС в разных городах. Каждая выходит в инет через свой PIX515E. Задача: один ПК из первой ЛВС должен видеть вторую ЛВС, используя VPN&IPSEC. Для этого на пиксе (v.6.3(3)) второй ЛВС прописываю:

access-list 100 permit ip 192.168.0.0 255.255.255.0 10.99.99.0 255.255.255.0

ip local pool bigpool 10.99.99.1-10.99.99.2

nat (inside) 0 access-list 100

sysopt connection permit-ipsec

crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map mymap 10 ipsec-isakmp dynamic dynmap
crypto map mymap interface outside
isakmp enable outside

isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5

isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup vpn3000-all address-pool bigpool
vpngroup vpn3000-all dns-server 192.168.0.1
vpngroup vpn3000-all idle-time 1800
vpngroup vpn3000-all split−tunnel 100

vpngroup vpn3000-all password *********

ПК первой ЛВС вывожу в инет через NAT и ставлю Cisco VPN Cilent v.4.0.3. Запускаю, vpn соединение устанавливается, на ПК поднимается еще один интерфейс с IP 10.99.99.1, но:

ни один адрес второй ЛВС не пингуется. В статистке клиента пакеты только отправляются, но не возвращаются. Во второй ЛВС на клиентах шлюзом указан пикс. Подскажите, плиз, где поправить.

• Cisco VPN Clent - PIX 515E,lomo, 10:48 , 17-Окт-04

А в логах 515 что-нить есть?

Кстати, Вы убираете траффик из NATa -

>access-list 100 permit ip 192.168.0.0 255.255.255.0 10.99.99.0 255.255.255.0
>nat (inside) 0 access-list 100

А происходит с траффиком (который Вам нужен) с 10.99.99.0/24 на 192.168.0.0/24? Ведь для нет нет правила nat 0 правила?