Синопсис:
Cisco 891 router:
Cisco IOS Software, C890 Software (C890-UNIVERSALK9-M), Version 15.0(1)M3, RELEASE SOFTWARE (fc2)
Настраиваю на нем соединение через easyvpn с основным раутером в ЦО (2911/K9 with Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.0(1)M3, RELEASE SOFTWARE (fc2))
Куски конфига 891-го которые относятся к проблеме:
==============<br/>
<code>crypto ipsec client ezvpn EzVPN_to_C1<br/>
connect auto<br/>
group FILIALS key My_Secret_Key<br/>
mode network-plus<br/>
peer 212.xxx.xxx.xxx default<br/>
peer 212.xxx.xxx.xxx<br/>
acl VPN_ACL<br/>
virtual-interface 1<br/>
username My_Client password My_Client<br/>
xauth userid mode local<br/>
!<br/>
interface Loopback0<br/>
ip address 10.10.10.10 255.255.255.255<br/>
!<br/>
!<br/>
interface Virtual-Template1 type tunnel<br/>
ip unnumbered Loopback0<br/>
ip tcp adjust-mss 1440<br/>
!<br/>
!<br/>
interface GigabitEthernet0<br/>
description ****** TO LOCAL NET *****<br/>
ip address 192.168.85.254 255.255.255.0<br/>
ip nat inside<br/>
duplex auto<br/>
speed auto<br/>
crypto ipsec client ezvpn EzVPN_to_C1 inside<br/>
<br/>
!<br/>
!<br/>
interface Vlan1<br/>
description ***** Primary Internet Channel ****<br/>
ip address 172.20.100.1 255.255.255.252<br/>
ip nat outside<br/>
ip tcp adjust-mss 1452<br/>
crypto ipsec client ezvpn EzVPN_to_C1<br/>
<br/>
ip nat inside source route-map NAT1 interface Vlan1 overload<br/>
ip route 0.0.0.0 0.0.0.0 172.20.100.2<br/>
ip access-list extended VPN_ACL<br/>
permit ip 192.168.85.0 0.0.0.255 192.168.96.0 0.0.7.255<br/>
access-list 154 deny ip 192.168.85.0 0.0.0.255 192.168.96.0 0.0.7.255<br/>
access-list 154 permit ip any any<br/>
route-map NAT1 permit 10<br/>
match ip address 154<br/>
match interface Vlan1</code><br/>
===========================<br/>
gi0 — смотрит в клиентскую сеть 192.168.85.0
Vlan1 — смотрит в интернет (точнее на yota-модем, но это в данном случае не важно)
212.xxx.xxx.xxx — ip адреса центрального офиса (к которому и происходит соединение через easyvpn)
192.168.96.0/21 — внутренняя сеть ЦО
Кусок конфига раутера центрального офиса (тот что относится к проблеме)
=========<br/>
crypto isakmp client configuration group FILIALS<br/>
key My_Secret_Key<br/>
pool Filials<br/>
acl CENTRAL_OFFICE<br/>
save-password<br/>
!<br/>
ip local pool Filials 192.168.100.105 192.168.100.130<br/>
ip access-list extended CENTRAL_OFFICE<br/>
permit ip 192.168.96.0 0.0.7.255 any<br/>
=============<br/>
А теперь сама проблема:
1) VPN не поднят — нат на филиале прекрасно работает. С клиентской машинки, что подключена к 891му раутеру прекрасно пингую хосты в интернете
2) Поднимаю VPN — он тоже прекрасно работает — вижу (пингую) внутреннюю сеть центрального офиса
3) НО: При поднятом vpn
перестает работать nat на 891м раутере. То есть с клиентской машинки я могу пинговать сеть ЦО, но пинги в интернет (через nat на 891м раутере) не идут.
Вопрос: Кроме выбора профессии, что я сделал не так?
PS: Настроил nat на раутере в ЦО, чтобы филиалы подключенные через ezvpn ходили в интернет хоть так. Но это некрасиво. Например, к Yota-модему на филиале в таком случае нет доступа.