Есть cisco 1721:            
1 Ethernet0 (ext_ip)
1 FastEthernet0 (int_ip)
...
Задача: ловить трафик с опр. адреса (int_ip), NATить его (выпускать, например, от имени ext_ip_1), закидывать обратно на ext_ip, шифровать, выкидывать с ext_ip на следующий VPN-роутер.
Смысл такой: та сторона - не наша, дальше - их забота расшифровать и прокинуть куда нужно. Соотв., меняемся парами адресов (vpn-router & public-router) и работаем. При этом нужно не срубить остальной выходящий трафик, который просто проходит через ext_ip с NATом, в т.ч. ssh на ext_ip, через который это все и конфигурится (доступа к консоли нет :-( ).
Как стОит это сделать - поднять на Ethernet0 'ip address ext_ip_1 secondary' и дальше через роутинг? Или subinterfaces? Или есть более прямые и/или надежные/обкатанные методы? Может, кто ваял такое и может поделиться?

• NAT+VPN,ВОЛКА, 20:51 , 25-Июн-03
  • NAT+VPN,A Clockwork Orange, 09:18 , 26-Июн-03
    • NAT+VPN,ВОЛКА, 12:44 , 26-Июн-03
  • NAT+VPN,Mikhail, 10:32 , 26-Июн-03

можно просто поднять IPSec между двумя VPN роутерами...

а можно поднять ещё и раутинг между цисками через GRE тунель.
если нужно,то зашифровать этот тунель IPsec'ом. Если хотим немного уменьшить оверхед, то использовать транспортную моду IPSec'а.

>можно просто поднять IPSec между двумя VPN роутерами...
>
>а можно поднять ещё и раутинг между цисками через GRE тунель.
>если нужно,то зашифровать этот тунель IPsec'ом. Если хотим немного уменьшить оверхед, то
>использовать транспортную моду IPSec'а.

Где можно об этом почитать?

вы не поверите, www.cisco.com :))

Нет, я не о том. Сейчас есть:
#sh run
...
crypto isakmp policy 1
encr 3des                                                          
hash md5                                                            
authentication pre-share                                            
group 2                                                            
lifetime 7200                                                      
crypto isakmp key ... address ...
...
crypto isakmp peer address ...
...
crypto ipsec transform-set ...
crypto map crmap 1 ipsec-isakmp                                        
set peer ...
set transform-set ...                                              
match address 101
...
interface Ethernet0                        
description Internet        
ip address XXX.XXX.XXX.2 255.255.255.0    
ip access-group input in                
ip access-group output out              
ip nat outside                            
half-duplex  
crypto map crmap                              
no cdp enable                            
...
interface FastEthernet0                    
description Local    
ip address 192.168.0.1 255.255.255.0    
ip access-group input_int in                
ip nat inside                            
speed auto                                
no keepalive                              
no cdp enable                            
...
ip nat pool oload XXX.XXX.XXX.2 XXX.XXX.XXX.2 prefix-length 24          
ip nat inside source list 7 pool oload overload                  
ip classless                                                    
ip route 0.0.0.0 0.0.0.0 Ethernet0
ip route <ext_router> <ext_vpn>                              
...
ip access-list extended 101  
permit ip host XXX.XXX.XXX.3 host <ext_vpn>
...
вроде, так.
Таким образом, все, что идет от хоста XXX.XXX.XXX.3 на <ext_vpn>, шифруется и уходит именно туда (проверено, работает в другой сетке).                      
Все остальное должно просто НАТиться и уходить наружу от имени XXX.XXX.XXX.2. И все ОК (если нигде не ошибся), пока XXX.XXX.XXX.3 - другая машина. Так вот задача - поднять XXX.XXX.XXX.3 на Ethernet0 и чтобы работало так же. Осложняется тем, что я тоже через Ethernet0 по ssh работаю, экспериментировать опасно. Некоторые наметки есть, но нет уверенности.