https://www.opennet.me/openforum/vsluhforumID6/21383.html Здравствуйте.<br>Я полный нуб во всякого рода vpn'ах, но из-за отсутствия нашего спеца по этим вопросам все взвалили на меня. В общем есть цисковский рутер в офисе, рабочий. Есть клиент вне офиса. Нужно, чтобы этот клиент мог через cisco vpn client соединятся с офисом и, пользуясь виндовской функцией удаленного рабочего стола, работать на нескольких офисных компьютерах.<br>В общем по статейке http://www.realcoding.net/article/view/4331 рутер я настроил. Программа vpn cliet устанавливает соединение с офисом, пинговать любую офисную машину снаружи можно, а вот делать ничего нельзя, соответственно даже удаленным рабочим столом на машинку офисную не законнектиться. Есть у меня глубокомысленное предположение, что все дело в каких-нибудь натах, который портят туннель. Значит в офисе нат (точнее даже пат) поднят на том же цисковском рутере, провайдером выдан один открытый фиксированный ip-адрес. Клиент сидит дома, тоже за натом. Там стоит обычный пользователький рутер, типа длинка или кого-то еще, который делает нат (им https://www.opennet.me/openforum/vsluhforumID6/21383.html#3 Thu, 29 Jul 2010 13:55:20 GMT Ну, мусора, ИМНО, много...<br><br>И вам, точно, надо, чтобы клиент выходил в инет через ваш шлюз?<br>Если не надо, то:<br>По топологии, настройте, для начала Split tunnel для VPN клиента.<br>&gt;<br>&gt;! <br>&gt;crypto isakmp client configuration group vpnclient <br>&gt; key &lt;key&gt;<br>&gt; dns 192.168.100.110 <br>&gt; domain domain.ru <br>&gt; pool ippool <br><br>Тут добавьте:<br> include-local-lan<br> netmask 255.255.255.0<br>И ACL для Split Tunnel<br> acl EasyVPN<br><br><br>ip access-list extended EasyVPN<br> permit ip 192.168.100.0 0.0.0.255 any<br><br><br>&gt;! <br>&gt;interface Loopback0 <br>&gt; ip address 172.16.250.1 255.255.255.0 <br>&gt; ip nat inside <br>&gt;! <br>&gt;interface Ethernet1 <br>&gt; ip address &lt;внешний ip-адрес&gt; 255.255.255.252<br>&gt; ip access-group 100 in <br>&gt; ip nat outside<br>&gt; ip policy route-map VPN-Client <br><br>Это вам зачем?<br><br>&gt;! <br>&gt;ip local pool ippool 172.16.251.1 172.16.251.3 <br>&gt;! <br>&gt;ip nat inside source list 1 interface Ethernet1 overload <br>&gt;! <br>&gt;access-list 1 permit 192.168.100.0 0.0.0.255 <br>&gt;access-list 1 permit 172.16.250.0 0.0.0.255 <br>&gt;access-list 1 permit 172.16.251.0 0.0.0.255 https://www.opennet.me/openforum/vsluhforumID6/21383.html#2 Wed, 28 Jul 2010 05:34:59 GMT &gt;если пиг проходит от одной точки до другой, а подключится к определенному <br>&gt;порту не получается, то возможно дело в acl , так что <br>&gt;Вам надо показать конфиг, иначе ничего никто не поймет. <br><br>cisco#sh run<br>Building configuration...<br><br>Current configuration : 5182 bytes<br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname cisco<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>enable secret 5 &lt;password&gt;<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication login userauthen local<br>aaa authentication ppp default local<br>aaa authorization network default local<br>aaa authorization network groupauthor local<br>!<br>aaa session-id common<br>no ip dhcp use vrf connected<br>ip dhcp excluded-address 192.168.100.1 192.168.100.149<br>ip dhcp excluded-address 192.168.100.161 192.168.100.254<br>!<br>ip dhcp pool COMPANY<br> network 192.168.100.0 255.255.255.0<br> dns-server 192.168.100.110<br> domain-name domain. https://www.opennet.me/openforum/vsluhforumID6/21383.html#1 Wed, 28 Jul 2010 04:32:33 GMT если пиг проходит от одной точки до другой, а подключится к определенному порту не получается, то возможно дело в acl , так что Вам надо показать конфиг, иначе ничего никто не поймет.<br>