>должно работать, это даже на диалапе работает (AS5300)
>а вообще ping идёт? может, в рутинге проблема? Да, пинг идёт на внешний интерфейс 81.x.x.xx3.
Если на Cisco, ACL "ip access-group 101 in" повешать на интерфейс:
interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
ip access-group 101 in
ip virtual-reassembly
peer default ip address pool PPPoE1
ppp authentication pap chap Test-AUTH
и на Cisco прописать ACL:
ip access-list extended 101
!
permit icmp any host 81.x.xxx.xx1 echo
permit icmp any host 81.x.xx.xx1 echo-reply
deny icmp any any
!
то с VPN клиента пингуется только 81.x.xxx.xx1, то что нам и надо.
1 Не могу понять почему не работает через Радиус даже если ACL
хранить на Cisco, а в Радиусе просто писать в таблице radreply:
сisco-avpair+="ip:inacl=101"
сisco-avpair+="ip:outacl=101"
2 Пробывал ещё кое что. Вот отрывок debug:
Jul 9 17:47:06.761: RADIUS: Cisco AVpair [1] 35 "ip:traffic-class=out default drop"
Jul 9 17:47:06.761: RADIUS: Vendor, Cisco [26] 40
Jul 9 17:47:06.761: RADIUS: ssg-account-info [250] 34 "QU;512000;256000;D;512000;256000"
Jul 9 17:47:06.761: RADIUS(0000018E): Received from id 1645/226
Jul 9 17:47:06.761: RADIUS/DECODE: parse unknown cisco vsa "traffic-class" - IGNORE
Почему "traffic-class" не поддерживает?
версия IOS 12.4