Как правильно сделать cisco vpn l2tp ipsec split tunnel на 1841?

Question

[All3]

Имеется cisco 1841 и межсетевой экран, за которым находится вся рабочая сеть. Необходимо сделать внутреннюю сеть предприятия доступной для удаленных клиентов.
Cisco одним портом воткнута в провайдера, другим в межсетевой экран. Межсетевой экран так же воткнут напрямую (условно) одним портом во внутреннюю сеть и другим в провайдера. Внутренняя сеть имеет множество подсетей, о них знает межсетевой экран.
мой конфиг 1841 такой:

Building configuration...

Current configuration : 2373 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname VPNeigrp
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxXXXxxx
!
aaa new-model
!
!
aaa authentication ppp VPDN_AUTH local
!
aaa session-id common
ip cef
!
!
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
no ip domain lookup
ip domain name xxx.ru
login block-for 60 attempts 3 within 30
vlan ifdescr detail
vpdn enable
!
vpdn-group L2TP
! Default L2TP VPDN group
 accept-dialin
  protocol l2tp
  virtual-template 1
 no l2tp tunnel authentication
!
!
!
!
username remote privilege 15 password 7 xxxXXXxxx
!
!
ip ssh version 1
!
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key xxxXXXxxx address 0.0.0.0 0.0.0.0
!
!
!
crypto ipsec transform-set L2TP-Set esp-3des esp-sha-hmac
 mode transport
!
crypto dynamic-map dyn-map 10
 set nat demux
 set transform-set L2TP-Set
!
!
crypto map outside_map 65535 ipsec-isakmp dynamic dyn-map
!
!
!
interface FastEthernet0/0
 ip address 192.168.77.2 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 109.XXX.XXX.201 255.255.255.224
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 crypto map outside_map
!
interface Serial0/0/0
 no ip address
 shutdown
 clock rate 2000000
!
interface Virtual-Template1
 ip unnumbered FastEthernet0/0
 peer default ip address pool l2tp-pool
 ppp authentication ms-chap-v2 VPDN_AUTH
 ppp ipcp dns 192.168.160.41
!
ip local pool l2tp-pool 192.168.77.3 192.168.77.128
ip default-gateway 109.XXX.XXX.193
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 109.XXX.XXX.193
ip route 192.168.0.0 255.255.0.0 192.168.77.1
!
no ip http server
no ip http secure-server
!
!
!
!
control-plane
!
privilege exec level 15 configure terminal
privilege exec level 15 configure
!
line con 0
line aux 0
line vty 0 4
 exec-timeout 60 0
 logging synchronous
 transport input ssh
!
scheduler allocate 20000 1000
end

При подключении клиента к vpn внутренняя сеть видна, интернета нет. Если снять галочку (на стороне клиента) "использовать основной шлюз в удаленной сети" - интернет появляется, внутренняя сеть не видна.

Подскажите, что добавить в конфиге, чтобы был и интернет и внутренняя сеть? Хотелось бы split tunnel, чтобы не ходить через cisco в интернет.

Comments

[Ринат Гарипов]

All3 Все правильно, галка "основной шлюз в удаленной сети" должна быть снята как правило, а для того чтобы была доступна внутренняя сеть вам надо пушить с роутера на vpn клиента маршруты на ваши внутренние сети при подключении по vpn.
Можно это делать вручную, можно автоматизировать.
Для этого внесите изменение в interface Virtual-Template1:
замените peer default ip address pool l2tp-pool
на peer default ip address dhcp-pool l2tp-pool
А уже в этом новом dhcp-pool Вы можете используя dhcp option 249 передать нужные маршруты на клиента.