Нет, я не о том. Сейчас есть: #sh run ... crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 lifetime 7200 crypto isakmp key ... address ... ... crypto isakmp peer address ... ... crypto ipsec transform-set ... crypto map crmap 1 ipsec-isakmp set peer ... set transform-set ... match address 101 ... interface Ethernet0 description Internet ip address XXX.XXX.XXX.2 255.255.255.0 ip access-group input in ip access-group output out ip nat outside half-duplex crypto map crmap no cdp enable ... interface FastEthernet0 description Local ip address 192.168.0.1 255.255.255.0 ip access-group input_int in ip nat inside speed auto no keepalive no cdp enable ... ip nat pool oload XXX.XXX.XXX.2 XXX.XXX.XXX.2 prefix-length 24 ip nat inside source list 7 pool oload overload ip classless ip route 0.0.0.0 0.0.0.0 Ethernet0 ip route <ext_router> <ext_vpn> ... ip access-list extended 101 permit ip host XXX.XXX.XXX.3 host <ext_vpn> ... вроде, так. Таким образом, все, что идет от хоста XXX.XXX.XXX.3 на <ext_vpn>, шифруется и уходит именно туда (проверено, работает в другой сетке). Все остальное должно просто НАТиться и уходить наружу от имени XXX.XXX.XXX.2. И все ОК (если нигде не ошибся), пока XXX.XXX.XXX.3 - другая машина. Так вот задача - поднять XXX.XXX.XXX.3 на Ethernet0 и чтобы работало так же. Осложняется тем, что я тоже через Ethernet0 по ssh работаю, экспериментировать опасно. Некоторые наметки есть, но нет уверенности.
|