>[оверквотинг удален]
>> crypto map outside_map 20 set nat-t-disable
>> crypto map outside_map 21 match address 101
>> crypto map outside_map 21 set peer c.c.c.c
>> crypto map outside_map 21 set transform-set myset
>> crypto map outside_map interface outside
>> не проходит.
>> access-list и статический NAT, который не НАТирует адреса из нужного диапазона, настроены.
> с другой стороны тоже все настроено? И вот эти слова, что листы,
> нат настроены ни к чему не приведут. Показывайте конфиг и
> лучше с двух сторон с другой стороны СтоунГейт стоит. Там всё правильно - Уже отработан конфиг. А на циске даже в sh crypto isakmp sa пусто.
вот подробнее:
object network 172.16.0.0-16
subnet 172.16.0.0 255.255.0.0
object network 172.17.0.0-16
subnet 172.17.0.0 255.255.0.0
object network 192.168.2.0-24
subnet 192.168.2.0 255.255.255.0
object network 192.168.3.0-24
subnet 192.168.3.0 255.255.255.0
object network 192.168.32.0-23
subnet 192.168.32.0 255.255.254.0
object network 192.168.1.0-24
subnet 192.168.1.0 255.255.255.0
------------- добавляем подсеть для нового ВПН
object network 192.168.38.0-23
subnet 192.168.38.0 255.255.254.0
-------------
object-group network GO-nets
network-object object 192.168.2.0-24
network-object object 192.168.3.0-24
network-object object 172.16.0.0-16
network-object object 172.17.0.0-16
network-object object 192.168.32.0-23
network-object object 192.168.1.0-24
------------- загоняем в группу обьъектов для обхода НАТ-а
network-object object 192.168.38.0-23
-------------
object network inside-net
subnet 192.168.233.0 255.255.255.240
nat (inside,outside) source static inside-net inside-net destination static GO-nets GO-nets description NoNAT
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 172.16.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.2.0 255.255.255.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.3.0 255.255.255.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 172.17.0.0 255.255.0.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.32.0 255.255.254.0
access-list 100 extended permit ip 192.168.233.0 255.255.255.240 192.168.1.0 255.255.255.0
--------- еще один аксес-лист для crypto-map
access-list 101 extended permit ip 192.168.233.0 255.255.255.240 192.168.38.0 255.255.254.0
------------
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto ipsec security-association lifetexitime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto map outside_map 20 match address 100
crypto map outside_map 20 set peer a.a.a.a b.b.b.b
crypto map outside_map 20 set transform-set myset
crypto map outside_map interface outside
-------------- добавляю крипто-мап
crypto map outside_map 21 match address 101
crypto map outside_map 21 set peer c.c.c.c
crypto map outside_map 21 set transform-set myset
-------------
tunnel-group a.a.a.a type ipsec-l2l
tunnel-group a.a.a.a ipsec-attributes
pre-shared-key ччччччччччччччччччччччччччччч
tunnel-group b.b.b.b type ipsec-l2l
tunnel-group b.b.b.b ipsec-attributes
pre-shared-key ччччччччччччччччччччччччч
-------------- добавил туннель-групп
tunnel-group b.b.b.b type ipsec-l2l
tunnel-group b.b.b.b ipsec-attributes
pre-shared-key чччччччччччччччччччччччч
----------------
Версия для распечатки
Cisco ASA VPN на несколько офисов., 
fomik2, 06-Сен-12, 19:13 [смотреть все]
