https://opennet.me/openforum/vsluhforumID6/18903.html Ситуация: есть энное количество филиалов (4), соединенных между собой при помощи ipsec шифрования звездой - каждый с каждым, по три туннеля на каждом маршрутизаторе. К одному из филиалов при помощи Cisco VPN Client подключаются удаленные клиенты. По умолчанию они видят только сеть филиала, к которому идет коннект, другие филиалы - нет.<br>Что пробовал: добавлял руками маршруты в VPNClient-сеть на удаленном маршрутизаторе. Пробовал заворачивать трафик на эту (Удаленных клиентов) сеть в туннель зеркально с обеих сторон на тестовом филиале. Не помогает. Если нужно, выложу конфиги. Просто может быть есть простой способ - прописать специальную опцию в конфиг, например<br>Cisco2811, ios 12.4<br>Нат на все выше и ниже описанные сети отключен.<br>ACL, управляющие туннельным трафиком, зеркальны в филиалах<br>Клиенту выдается маршрут в 123 и в 156 сети. <br>123 сеть целиком доступна<br>Трафик между филиалами проходит<br><br>Схема:<br>Клиент 124.0/24&lt;=ipsec=&gt;Филиал1 123.0/24&lt;=ipsec=&gt;Филиал2 156.0/24<br>Задача: Клиент должен видеть сеть 156.0 https://opennet.me/openforum/vsluhforumID6/18903.html#6 Thu, 21 May 2009 14:27:22 GMT Вы правы, на банальных транспортных туннелях маршрутизации не настроить<br>вот интересный документ "для чайников", объясняющий - почему так "низя"<br>http://www.isi.edu/div7/presentation_files/dynamic_routing.pdf<br> https://opennet.me/openforum/vsluhforumID6/18903.html#5 Thu, 21 May 2009 06:41:16 GMT Конфиг "центрального" маршрутизатора<br>конфиг маршрутизатора "удаленного" принципиально ничего не отличается (в мелочах, ACL, QoS итп)<br><br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname XXXX<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 52000 debugging<br>enable secret 5 <br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication login EASYVPN_AUTH local<br>aaa authorization exec default local <br>aaa authorization network EASYVPN_GROUP_AUTH local <br>!<br>aaa session-id common<br>!<br>!<br>ip cef<br>!<br>!<br>ip domain name XXXXXX<br>ip auth-proxy max-nodata-conns 3<br>ip admission max-nodata-conns 3<br>!<br>!<br>voice-card 0<br> no dspfarm<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>!<br>crypto pki trustpoint TP-self-signed-4179041039<br> enrollment selfsigned<br> subject-name cn=IOS-Self-Signed-Certificate-4179041039<br> revocation-check none<br> rsakeypair TP-self-signed-4179041039<br>!<br>!<br>crypto pki certificate chain TP-self-sig https://opennet.me/openforum/vsluhforumID6/18903.html#4 Wed, 20 May 2009 15:33:31 GMT &gt;<br>&gt;&gt;Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда <br>&gt;&gt;надо. <br>&gt;<br>&gt;Логично. Не понятно, почему не работает схема: трафик из сети клиента, направленный <br>&gt;в сеть другого филиала - шифровать и заворачивать в туннель. И <br>&gt;обратное правило на удаленном роутере. А центральная цыска уже разрулит внутри. <br>&gt;Но если не работает, значит так надо :=\ <br><br>Что бы ответить на подобный вопрос надо ковырять ваши конфиги.<br> https://opennet.me/openforum/vsluhforumID6/18903.html#3 Wed, 20 May 2009 14:51:23 GMT <br>&gt;Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда <br>&gt;надо. <br><br>Логично. Не понятно, почему не работает схема: трафик из сети клиента, направленный в сеть другого филиала - шифровать и заворачивать в туннель. И обратное правило на удаленном роутере. А центральная цыска уже разрулит внутри. Но если не работает, значит так надо :=\<br><br><br> https://opennet.me/openforum/vsluhforumID6/18903.html#2 Wed, 20 May 2009 14:18:29 GMT &gt;Неужели нет никаких соображений ни у кого? <br>&gt;Или задача настолько проста, что гуру не желают отвечать? :) <br><br>Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда надо.<br>Поднимайте динамику. Либо, что правильнее, как мне кажется, в вашей ситуации, поднимайте DMVPN<br> https://opennet.me/openforum/vsluhforumID6/18903.html#1 Wed, 20 May 2009 13:52:36 GMT Неужели нет никаких соображений ни у кого?<br>Или задача настолько проста, что гуру не желают отвечать? :)<br>