https://www.opennet.me/openforum/vsluhforumID6/2166.html Добрый день!<br><br>Прошу помощи в проброске основного шлюза через удалённый офис по site-2-site tunnel.<br>Оборудование - ASA 5505, Version 8.4(7)31<br><br>Схема сети такова.<br><br>Основной офис имеет выход в интернет через двух провайдеров с настройкой резервирование через IP SLA. Плюс имеется оптика до второго офиса.<br>Сеть 192.168.1.0/24<br><br>Второй офис имеет выход в интернет через одного провайдера, а так-же связан по оптике с основным.<br>Сеть 192.168.2.0/24<br><br>Трафик между внутренними сетями идёт через шифрованный site-2-site tunnel по прямой оптике, а как резервные используются линки до провайдеров.<br><br>Необходимо чтобы у второго офиса был резервный канал в интернет через основной офис.<br><br>Вот часть текущего конфига.<br>---Основной офис---<br>[code]object-group network LOCAL_NET<br> network-object 192.168.1.0 255.255.255.0<br>object-group network REMOTE_NET<br> network-object 192.168.2.0 255.255.255.0<br><br>access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET<br><br>nat (inside,outside) source static L https://www.opennet.me/openforum/vsluhforumID6/2166.html#5 Fri, 23 Jun 2017 18:14:46 GMT &gt; Маршрут по-умолчанию во втором офисе не добавлял т.к. сеть после сделанных изменений <br>&gt; стала вести себя следующим образом.<br>&gt; Оборвалась связь через туннель между офисами. Затем пинг пошёл в обе стороны, <br>&gt; но зайти в консоль на любые железки в удалённом офисе не <br>&gt; было возможности - после ввода логина консоль отваливалась.<br>&gt; Пришлось вернуть все настройки в прежнее состояние на той циске до которой <br>&gt; был доступ и работа сети восстановилась.<br><br>Reverse route injection<br><br>crypto dynamic-map outside_dyn_map 20 set reverse-route<br><br><br> https://www.opennet.me/openforum/vsluhforumID6/2166.html#4 Fri, 23 Jun 2017 10:24:13 GMT Приношу извинения за форматирование предыдущего сообщения. <br>Исправить уже нет возможности.<br><br>Ссылка из последнего абзаца с настройкой для VPN Client - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/112182-ssl-tdg-config-example-00.html<br><br>Подобного мануала для site-2-site VPN на просторах гугла не нашёл.<br><br> https://www.opennet.me/openforum/vsluhforumID6/2166.html#3 Fri, 23 Jun 2017 08:16:17 GMT &gt;&gt; Неужели нет никого, кто сталкивался бы с подобной задачей ?<br>&gt; так если вы не добавляли маршрут по-умолчанию через первый офис, то как <br>&gt; вы пойдете в инет через него?<br><br>Я понимаю что добавить маршрут нужно и я его добавлю, но проблемы начинаются ещё до того как я добавляю маршрут. Ведь на момент настройки второй офис выходит в интернет через своего провайдера и по идее всё должно работать нормально до момента пока не изменён шлюз по-умолчанию.<br>Что-то не так в настройках аццес листов или NAT, но что именно я не могу понять.<br><br>В данный момент решил вопрос тем что добавил следующий маршрут во втором офисе<br>[code]route 0 0 172.16.0.2 250[/code]<br><br>Это IP на оптическом линке со стороны главного офиса.<br><br>Так же в аццес листах для туннеля оставил только внутренние сети.<br>[code]access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET[/code]<br><br>В главном офисе добавил NAT для трафика, идущего с тунельного интерфейса в мир<br>[code]nat (tunnel,outside) after-auto source dynamic any i https://www.opennet.me/openforum/vsluhforumID6/2166.html#2 Fri, 23 Jun 2017 07:32:36 GMT &gt; Неужели нет никого, кто сталкивался бы с подобной задачей ?<br><br>так если вы не добавляли маршрут по-умолчанию через первый офис, то как вы пойдете в инет через него?<br> https://www.opennet.me/openforum/vsluhforumID6/2166.html#1 Thu, 22 Jun 2017 10:42:03 GMT Неужели нет никого, кто сталкивался бы с подобной задачей ?<br>