Как пробросить несколько несвязанных подсетей через TMG без ошибок?
Дано: две сети, два физических объекта "ДЦ", один VPN-канал, на одном конце Cisco 28xx, на втором Microsoft TMG 2010. Требуется: настроить ограничение сетей так, чтобы на исе не возникало ошибок IKE.
Есть две подсети, условно 10.1.0.0/16, 10.2.0.0/16, на одной стороне VPN-канала 24я подсеть 0.х, на второй 1.х, в них сервера и прочее оборудование. Нужно сделать так, чтобы из сети 10.1.0.х была видна только 10.1.1.х, и из сети 10.2.0.х только подсеть 10.2.1.х. Настроил правила на циске в криптомапе:
permit ip 10.2.1.0 0.0.0.255 10.2.0.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 10.1.0.0 0.0.0.255
permit ip 10.1.1.0 0.0.0.255 host 8x.xx.xx.xx <-- публичный IP исы, иначе она VPN дропает
permit ip 10.2.1.0 0.0.0.255 host 8x.xx.xx.xx
На стороне исы настраиваю тот же VPN, но у неё можно указать только правила по доступу в network, а network создается один для каждого VPN, в итоге в network-объекте на исе сразу обе подсети 10.2.1.0 и 10.1.1.0, и в правилах на исе нельзя разделить объект на подсети (то есть нельзя создать правило, которое будет действовать для одной подсети, но не будет для второй). Создавать второй VPN тоже вроде как нельзя. В итоге когда устройство из 10.2.0 ломится в 10.1.1, иса кидает ошибку IKE Quick mode negotiation failed, так как на циске нет правила для доступа, и она не строит IKE-канал (и правильно делает). Хочу избавиться, по возможности не заменяя ису циской (иса по факту бесплатная, а циска - нет). Можно ли что-то сделать в такой ситуации?