>[оверквотинг удален]
>>От че эта! Сам спросил. сам ответил :-)
>>
>>Use a policy map to prevent NAT through the VPN by routing
>>the VPN
>>traffic through the loopback adapter....
>>
>>От только каким местом пока не понял. Копаем дальше....
>
> А у вас случайно на loopback-е не стоит
> ip nat outside ? Нет.
interface Loopback0
ip address 172.16.20.1 255.255.255.0
В общем почитав - это route-map каким-то местом не допускает предварительную обработку пакета nat. Т.е. пакет в итоге попадает в IPSEC как пришел на интерфейс.
Хотя есть access-list который не пускает IPSEc пакеты в NAT.
ip nat inside source list 180 interface FastEthernet0/1 overload
f0/1 - внешний интерфейс.
access-list 180 deny ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 deny ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 180 deny ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 180 deny ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 180 permit ip 192.168.20.0 0.0.0.255 any
access-list 180 permit ip 192.168.19.0 0.0.0.255 any
Без 140-го картинка была неточной.
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.17.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.21.0 0.0.0.255
access-list 140 permit ip 192.168.19.0 0.0.0.255 192.168.22.0 0.0.0.255
access-list 140 permit ip 192.168.20.0 0.0.0.255 192.168.22.0 0.0.0.255