> а можно кусочек конфига?клиент (LAN 10.10.32.1/24)--(WAN 10.0.1.3/24)
на клиенте
crypto ipsec client ezvpn VPN-AXAins
connect auto
group XXXXXXXX key XXXXXXXXX
mode network-extension !Это важно - информация о данной подсети передаеться на VPN server в вашем случае 5510
peer 10.0.1.1
peer 10.0.1.254
Проверяем конект
XXXX#sh crypto session
Crypto session current status
Interface: GigabitEthernet0/0
Session status: UP-ACTIVE
Peer: 10.0.1.1 port 500
IKE SA: local 10.0.1.3/500 remote 10.0.1.1/500 Active
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.30.0/255.255.255.0 !вот это сетки ГО которые получает клиент 871 с помощью сплит туннелига все остальное рулиться в НАТ на клиенте
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.31.0/255.255.255.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.32.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.64.0/255.255.255.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.65.0/255.255.255.0
Active SAs: 0, origin: crypto map
не забываем настроить сплит-туннелинг на ВПН концентратор (ГО сети )
так тут порядок
Далее переходим на сам ВПН концентратор (у меня ASA 5550). Обязательно включаем Reverse Route - включаю с граф морды поскольку АСОвый шел считаю крайне неудобным в отличии от роутерного :)))
послу установки клиентом впн соединения смотрит на ВПН концентраторе
ASA5550-1# sh route WAN
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 192.168.31.1 to network 0.0.0.0
C 10.0.1.0 255.255.255.0 is directly connected, WANTOP-NET
S 10.10.38.48 255.255.255.240 [1/0] via 10.0.1.7, WAN
S 10.10.32.0 255.255.255.0 [1/0] via 10.0.1.3, WAN !Теперь сетка отделения появилась на VPN концентраторе как стат. маршрут
S 10.10.34.0 255.255.255.192 [1/0] via 10.0.1.13, WAN
S 10.10.36.0 255.255.255.224 [1/0] via 10.0.1.5, WAN
S 10.10.37.0 255.255.255.128 [1/0] via 10.0.1.10, WAN
S 10.10.39.0 255.255.255.192 [1/0] via 10.0.1.2, WAN
S 10.10.35.192 255.255.255.192 [1/0] via 10.0.1.4, WAN
S 192.168.1.0 255.255.255.0 [1/0] via 10.0.1.9, WAN
ну а дальше анонсируем через роутмапу.
проверка допустим ping 10.10.32.5 из внутренней сети головного офиса