Нет, я не о том. Сейчас есть:
#sh run
...
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
lifetime 7200
crypto isakmp key ... address ...
...
crypto isakmp peer address ...
...
crypto ipsec transform-set ...
crypto map crmap 1 ipsec-isakmp
set peer ...
set transform-set ...
match address 101
...
interface Ethernet0
description Internet
ip address XXX.XXX.XXX.2 255.255.255.0
ip access-group input in
ip access-group output out
ip nat outside
half-duplex
crypto map crmap
no cdp enable
...
interface FastEthernet0
description Local
ip address 192.168.0.1 255.255.255.0
ip access-group input_int in
ip nat inside
speed auto
no keepalive
no cdp enable
...
ip nat pool oload XXX.XXX.XXX.2 XXX.XXX.XXX.2 prefix-length 24
ip nat inside source list 7 pool oload overload
ip classless
ip route 0.0.0.0 0.0.0.0 Ethernet0
ip route <ext_router> <ext_vpn>
...
ip access-list extended 101
permit ip host XXX.XXX.XXX.3 host <ext_vpn>
...
вроде, так.
Таким образом, все, что идет от хоста XXX.XXX.XXX.3 на <ext_vpn>, шифруется и уходит именно туда (проверено, работает в другой сетке).
Все остальное должно просто НАТиться и уходить наружу от имени XXX.XXX.XXX.2. И все ОК (если нигде не ошибся), пока XXX.XXX.XXX.3 - другая машина. Так вот задача - поднять XXX.XXX.XXX.3 на Ethernet0 и чтобы работало так же. Осложняется тем, что я тоже через Ethernet0 по ssh работаю, экспериментировать опасно. Некоторые наметки есть, но нет уверенности.
|
Версия для распечатки
NAT+VPN,
Mikhail, 25-Июн-03, 19:19
[смотреть все]
