Конфиг в филиале........crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 1.1.1.1
!
!
crypto ipsec transform-set temp esp-3des esp-md5-hmac
mode transport
!
crypto map vpn 10 ipsec-isakmp
set peer 1.1.1.1
set transform-set temp
match address new
!
!
!
interface Tunnel0
ip address 172.17.1.1 255.255.255.0
tunnel source 2.2.2.2
tunnel destination 1.1.1.1
!
interface FastEthernet0/0
ip address 192.168.10.221 255.255.255.0
ip access-group 100 in
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 2.2.2.2 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map vpn
!
router eigrp 10
network 172.17.1.0 0.0.0.255
network 192.168.10.0
auto-summary
!
ip route 0.0.0.0 0.0.0.0 2.2.2.1
!
ip http server
no ip http secure-server
ip nat pool Comstar 2.2.2.2 2.2.2.2 netmask 255.255.255.248
ip nat inside source list fuck pool Comstar overload
!
ip access-list extended fuck
permit ip 192.168.10.0 0.0.0.255 any
ip access-list extended new
permit gre host 2.2.2.2 host 1.1.1.1
!
access-list 1 permit 192.168.10.0
access-list 100 permit icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 100 permit udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq netbios-ss
access-list 100 permit udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq netbios-dgm
access-list 100 permit udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq netbios-ns
access-list 100 permit tcp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq telnet
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
access-list 102 permit tcp any any established
access-list 150 deny ip 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 150 permit ip 192.168.10.0 0.0.0.255 any
!
Конфиг центрального офиса.............
username fuck password 7 050609022E
!
!
!
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 2.2.2.2
crypto isakmp key cisco address 3.3.3.3
!
!
crypto ipsec transform-set temp esp-3des esp-md5-hmac
mode transport
!
crypto map vpn 10 ipsec-isakmp
set peer 2.2.2.2
set transform-set temp
match address new
crypto map vpn 20 ipsec-isakmp
set peer 3.3.3.3
set transform-set temp
match address new1
!
!
!
interface Tunnel0
ip address 172.17.1.2 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 2.2.2.2
!
interface Tunnel1
ip address 172.17.2.1 255.255.255.0
tunnel source FastEthernet0/1
tunnel destination 3.3.3.3
!
interface FastEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-FE 0$
ip address 192.168.100.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 1.1.1.1 255.255.255.0
duplex auto
speed auto
crypto map vpn
!
router eigrp 10
network 172.17.1.0 0.0.0.255
network 172.17.2.0 0.0.0.255
network 192.168.100.0
distribute-list 10 out
no auto-summary
!
ip route 0.0.0.0 0.0.0.0 1.1.1.0 (шлюз липовый)
!
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended new
permit gre host 1.1.1.1 host 2.2.2.2
ip access-list extended new1
permit gre host 1.1.1.1 host 3.3.3.3
!
access-list 10 permit 192.168.100.0
access-list 10 permit 172.17.1.0
access-list 10 permit 172.17.2.0
Надо сделать так чтобы доступ из центрально в сторону филиала был по всем портам( это уже есть если я не накладываю списки доступа в филиале). Надо (самое главное) запретить доступ из филиала в сторону центрального по всем портам КРОМЕ icmp,telnet,(шары должны тоже работать ,значит протокол netbios)И ЕЩЕ должны реплицироваться контроллеры домена между двумя точками........Как вы видите как все работает без наложения списка доступа в филиале access-list 100 permit icmp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 100 permit udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq netbios-ss
access-list 100 permit udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq netbios-dgm
access-list 100 permit udp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq netbios-ns
access-list 100 permit tcp 192.168.10.0 0.0.0.255 192.168.100.0 0.0.0.255 eq telnet
access-list 100 permit ip 192.168.10.0 0.0.0.255 192.168.10.0 0.0.0.255
как только накладываю то перестает работать телнет хотя icmp работает
Вот так вот,
спасибо
Версия для распечатки
Списки доступа!трабла, 
momo, 30-Окт-08, 16:49 [смотреть все]
