Здравствуйте собратья цисководы!
Дано: Cisco ASA 8.4!!!!
У меня тут возник вопрос как организовать VPN подключение AnyConnect удалённых пользователей к офисной LAN(10.1.61.0/24), но и в другие офисные LAN(10.1.10.0/24, 10.1.20.0/24, 10.1.70.0/24), которые подключены к Cisco ASA через VPN соединение Site-to-Site? Чтобы удалённым пользователям виделись другие офисные LAN (ping, и весь протокол IP) и была возможность с помощью туннелирования Split Tunel иметь доступ к сети Интернет, будучи подключенными к VPN AnyConnect.
То бишь чтобы было вот так:
Картинка:
[img]http://i67.fastpic.ru/big/2014/0924/15/74ccac14ea3e0aba13649...

На данный момент времени я смогла добиться того, что VPN пользователям доступен Интернет через Split Tunel, видится офисная сеть LAN 10.1.60.0/24, офисные компьютера и сервера LAN 10.1.60.0/24 отлично видятся и пингуются, а также из офисной сети LAN 10.1.60.0/24 возможно увидеть и пропинговать удалённых пользователей VPN AnyConnect.
Пользователи офисной LAN 10.1.61.0/24 с помощью VPN Site-to-Site прекрасно видят (и их тоже видят) другие офисные LAN 10.1.10.0/24, 10.1.20.0/24, 10.1.70.0/24 по протоколу IP.

Основная задача: заставить удалённых пользователей увидеть другие офисные LAN 10.1.10.0/24, 10.1.20.0/24, 10.1.70.0/24, и чтобы пользователи других офисных LAN увидели удалённых пользователей VPN AnyConnect.

Что уже наконфигурено мной:

Интерфейсы:

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.1.60.ХХ4 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address outside_ip 255.255.255.248 

Пул IP адресов для удаленных VPN пользователей AnyConnect:

ip local pool RREMOTE_USER_VPN 10.1.60.200-10.1.60.230 mask 255.255.255.0

Существующие NAT для VPN Site-to-Site:

nat (inside,any) source static obj-10.1.60.0 obj-10.1.60.0 destination static obj-10.1.10.0 obj-10.1.10.0 no-proxy-arp route-lookup
nat (inside,any) source static obj-10.1.60.0 obj-10.1.60.0 destination static obj-10.1.20.0 obj-10.1.20.0 no-proxy-arp route-lookup
nat (inside,any) source static obj-10.1.60.0 obj-10.1.60.0 destination static obj-10.1.70.0 obj-10.1.70.0 no-proxy-arp route-lookup

Существующие access-list'ы для VPN Site-to-Site:

access-list SITE_TO_SITE extended permit ip 10.1.60.0 255.255.255.0 10.1.10.0 255.255.255.0 
access-list SITE_TO_SITE extended permit ip 10.1.60.0 255.255.255.0 10.1.20.0 255.255.255.0 
access-list SITE_TO_SITE extended permit ip 10.1.60.0 255.255.255.0 10.1.70.0 255.255.255.0

А также сделан обычный динамический NAT

object network obj-10.1.61.0
 nat (outside,outside) dynamic interface dns
object network obj_any
 nat (inside,outside) dynamic obj-0.0.0.0

Сделана следующая групповая политика:

group-policy GroupPolicy_XXX_VPN internal
group-policy GroupPolicy_XXX_VPN attributes
 wins-server none
 dns-server value 10.1.60.242
 vpn-tunnel-protocol ikev2 ssl-client 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value For-VPN-XXX-Split_Tunel
 default-domain value XXXXX.local
 split-dns none
 split-tunnel-all-dns enable
 webvpn
  anyconnect profiles value IMMA_XXX_client_profile type user

Создан на основе групповой политики туннель для AnyConnect подключений:

tunnel-group XXX_VPN type remote-access
tunnel-group XXX_VPN general-attributes
 address-pool RREMOTE_USER_VPN
 authentication-server-group AD
 default-group-policy GroupPolicy_XXX_VPN
tunnel-group XXX_VPN webvpn-attributes
 group-alias XXX_VPN enable

Access-list для Split Tunel

access-list For-VPN-XXX-Split_Tunel standard permit 10.1.60.0 255.255.255.0 
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.10.0 255.255.255.0 
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.20.0 255.255.255.0 
access-list For-VPN-XXX-Split_Tunel standard permit 10.1.70.0 255.255.255.0 

Короче, что делать? Если нужны будут какие еще выдержки из конфига ASA я могу предоставить.

ЗЫ. Курсы не кончали пока что, так что учимся по мануалам Cisco и с помощью форумов. Прошу сильно меня не пинать=)