Есть две Cisco 1721. У каждой FastEthernet в локальной сети, и Ethernet наружу, через SDSL.RouterA:
fa0 192.168.0.1/24
e0 1.2.3.4RouterB:
fa0 192.168.1.1/24
e0 5.6.7.8Между 192.168.0.0/24 и 192.168.1.0/24 туннель (IPSec).
Пока что все тривиально.На RouterA подключается Cisco VPN client. Ему выдается адрес из пула 192.168.250.0/24.
Задача - чтобы у клиента был доступ не только к 192.168.0.0/24 (подключена к RouterA), но и к 192.168.1.0/24 (подключена к RouterB).
Пока что не получается - доступ есть только к 192.168.0.0.
crypto isakmp client configuration group common
dns 192.168.0.3 192.168.0.4
wins 192.168.0.3
domain mydomain.local
pool client-pool
acl 140access-list 140 permit ip 192.168.0.0 0.0.0.255 192.168.250.0 0.0.0.255
access-list 140 permit ip 192.168.1.0 0.0.0.255 192.168.250.0 0.0.0.255В Cisco VPN client присутствуют маршруты на обе сети. По sh cry ipsec sa видно, что пакеты от клиента шифруются, но до RouterB не доезжают.
Самый главный вопрос - это вообще возможно в принципе?
Отвечаю сам себе. Становится традицией.ip access-list extended reroute-to-remote
permit ip 192.168.250.0 0.0.0.255 192.168.1.0 0.0.0.255route-map reroute-to-remote permit 10
match ip address reroute-to-remote
set interface Ethernet0interface Ethernet0
ip policy route-map reroute-to-remote