Доброго времени суток всем!
Кто может сталкивался и сможет помочь с одной проблемкой.
Необходимо району А попасть через VPN в подсеть головного офиса и увидеть 1 только хост с полным доступом.
Конфиг района
interface Vlan1
description $ETH-SW-LAN$
ip address 172.20.81.250 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Dialer0
ip address 222.222.222.0 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1452
ip nat outside
ip virtual-reassembly
encapsulation ppp
no ip mroute-cache
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname ***
ppp chap password ****
ppp pap sent-username **** password ****
ppp ipcp dns request
crypto map EB-cr_map
!
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NAT_to_world interface Dialer0 overload
ip ospf name-lookup
!
ip access-list extended NAT_to_world
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
permit ip 172.20.81.0 0.0.0.255 any
deny ip any any
ip access-list extended VPN-Vitek
permit ip 172.20.81.0 0.0.0.255 172.23.40.0 0.0.0.255
permit ip 172.20.81.0 0.0.0.255 10.10.10.0 0.0.0.127Конфиг Головного офиса
interface GigabitEthernet0/0
description $Lan$$ETH-WAN$
ip address 172.23.40.216 255.255.255.0
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
duplex auto
speed auto
no cdp enable
hold-queue 32 in
!
interface GigabitEthernet0/1
description $Inet$$ETH-WAN-dmz$
ip address 192.168.9.2 255.255.255.252
ip access-group 101 in
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1452
duplex auto
speed auto
no cdp enable
crypto map EB-cr_map
!
ip route 0.0.0.0 0.0.0.0 192.168.9.1
ip route 10.10.10.0 255.255.255.128 172.23.40.0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list NAT_to_world interface GigabitEthernet0/1 overload
!
ip access-list extended NAT_to_world
deny ip any 10.0.0.0 0.255.255.255
deny ip any 172.16.0.0 0.15.255.255
deny ip any 192.168.0.0 0.0.255.255
deny ip any any
ip access-list extended VPN-Vitek
permit ip 172.23.40.0 0.0.0.255 172.20.81.0 0.0.0.255
permit ip 10.10.10.0 0.0.0.127 172.20.81.0 0.0.0.255
При этом туннель между подсетью головного офиса 10.10.10.0 255.255.255.128 поднимаеться
а вот в районе не могут зайти в данную сетку и пинговать ни какой хост
Сеть района. 172.20.81.0 255.255.255.0
Сеть головного офиса 172.23.40.0 255.255.255.0
Подсеть головного офиса 10.10.10.0 255.255.255.128
При этом циска головного офиса сидит в dmz зоне и через пиксу выходит своими VPN в инет
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
(ok) on 27-Апр-10, 16:32 
