Вопрос по подключению Cisco ASA c Cisco 871

[Marchd]

Доброго времени суток всем достопочтенным ГУРУ этого форума! Есть проблема.
Суть: есть asa 2811 в головном офисе к которой подключаются Cisco 871 по инету через VPN-у образуя несколько маршрутизируемых между собой под сетей. Есть провайдер который предоставляет возможность подключить несколько таких удаленных офисов где стоят Cisco 871 напрямую через свое оборудование к головному офису, но при этом не дает гарантий безопасности своего соединения. По сему очень хочется использовать оборудование приведенное выше для подключения этих офисов. Я попробовал воткнуть соединение прова в общую локальную сетку с asa 2811, и на другом конце настроил 871-ю так, как будто локальная сетка асы - это lanout указав асу шлюзом по умолчанию. ВПН на 871ой поднялся и все вроде бы заработало, но! после этого начались проблемы в удаленном офисе, 871-ая периодически отрубает клиентов от инета и от VPN-а, а именно перестает маршрутизировать на ip клиентов, помогает только переназначение клиенту другого ip, ребут 871-ой тоже помогает но не надолго.
Вопрос первый - почему циска отрубает клиетнов?
Вопрос второй - меня самого смущает эта схема, но ничего другого в голову не приходит, может у кого есть мысли как это сделать правильно?
вот конфиг
Cisco 781

Код: Выделить всё

c871#sh run
Building configuration...
Current configuration : 7126 bytes
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 ...
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
aaa session-id common
!
resource policy
!
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.30.127.1 172.30.127.100
ip dhcp excluded-address 172.30.127.200
!
ip dhcp pool office-1
   import all
   network 172.30.127.0 255.255.255.0
   netbios-node-type h-node
   default-router 172.30.127.200
   dns-server 172.30.122.40 172.30.122.41 94.25.208.74 94.25.128.74
   netbios-name-server 172.30.122.41
   lease 10 23
!
!
ip domain name main.domain
ip name-server 172.30.122.40
ip name-server 172.30.122.41
ip ssh time-out 60
no ip ips deny-action ips-interface
!
!
crypto pki ...
 enrollment selfsigned
 subject-name ...
 revocation-check none

 ...
!
!
crypto pki certificate ...
 ...
!
!
!
crypto isakmp policy 5
 authentication pre-share
 group 2
crypto isakmp key ... address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpnprof
 set transform-set dmvpnset
!
!
!
!
interface Tunnel1
 description ---- Host Dynamic Tunnel ----
 ip address 172.30.136.27 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication dmvpn
 ip nhrp map 172.30.136.1 x.x.x.x
 ip nhrp map multicast x.x.x.x
 ip nhrp network-id 99
 ip nhrp holdtime 300
 ip nhrp nhs 172.30.136.1
 no ip mroute-cache
 qos pre-classify
 tunnel source FastEthernet4
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile dmvpnprof
!
interface FastEthernet0
 no cdp enable
!
interface FastEthernet1
 no cdp enable
!
interface FastEthernet2
!
interface FastEthernet3
 no cdp enable
!
interface FastEthernet4
 description --- off1 WAN ---
 ip address 172.30.122.221 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 duplex auto
 speed auto
 no cdp enable
!
interface Vlan1
 description ---- LAN interface ----
 ip address 172.30.127.200 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
!
interface Dialer1
 no ip address
 no cdp enable
!
router eigrp 1
 network 172.30.136.0 0.0.0.255
 network 172.30.0.0
 auto-summary
 eigrp router-id 172.30.136.27
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 0.0.0.0 0.0.0.0 172.30.122.200
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map nonat interface FastEthernet4 overload
!
ip access-list extended nat_allow
 ...
!
access-list...
no cdp run
!
route-map nonat deny 5
 match ip address nat_deny
!
route-map nonat permit 10
 match ip address nat_allow
!
!
control-plane
!
banner login ^C
...
!
...
!
scheduler max-task-time 5000
end

Заранее благодарен за конструктивные ответы:)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[m0ps]

что такое asa 2811?

[Marchd]

что такое asa 2811?

прошу меня простить это Cisco 2811 а не ASA я не знаю почему так написал

[m0ps]

по описанию нефига не понятно. что есть и как нужно.
во первых - желательна схема.

======
правильно ли я понял, что сейчас работает через интернет, а хочешь сделать через внутреннюю сеть провайдера.
если так - разницы в реализации нет абсолютно никакой. или хочешь резерв через сеть провайдера?

[Marchd]

по описанию нефига не понятно. что есть и как нужно.
во первых - желательна схема.

======
правильно ли я понял, что сейчас работает через интернет, а хочешь сделать через внутреннюю сеть провайдера.
если так - разницы в реализации нет абсолютно никакой. или хочешь резерв через сеть провайдера?

Сейчас есть - через сеть провайдера 871-я подключена в локальную сетку 2811-ой так что 2811 является инет-шлюзом по средам которого 871-я подключается к той же 2811. Вот я и спрашиваю, как сделать по другому? и почему при такой конфе временами 871 отказываться маршрутизировать некоторых клиентов.

[m0ps]

бр...
можно картинку, а то я из описанного понимаю какой-то бред

[Marchd]

бр...
можно картинку, а то я из описанного понимаю какой-то бред

djn ^)

[m0ps]

бр...
можно картинку, а то я из описанного понимаю какой-то бред

djn ^)

классическая схема у тебя получается:
cisco 2811 - центральный маршрутизатор. с него выход в инет, и с него туннели с удаленными офисами.
cisco 871 - маршрутизатор удаленного офиса.
на cisco 2811 если нет доп модулей с FA - то прокидываешь вланы через умный свич, и создаешь нужное количество сабинтерфейсов.
на cisco 871 строишь ipsec с сабинтерфейсом, смотрящим в "предоставленная сеть провайдера", в этот-же туннель рисуешь маршрут 0.0.0.0 0.0.0.0
идеальная схема - DMVPN с EIGRP

[m0ps]

ipsec не нужно строить с внешним интерфейсом 2811, его нужно строить с интерфейсом, смотрящим в "предоставленная сеть провайдера"

хорошая статья по DMVPN есть тут:
http://blog.ine.com/2008/08/02/dmvpn-explained/

[Marchd]

ipsec не нужно строить с внешним интерфейсом 2811, его нужно строить с интерфейсом, смотрящим в "предоставленная сеть провайдера"

хорошая статья по DMVPN есть тут:
http://blog.ine.com/2008/08/02/dmvpn-explained/

Спасибо за наводку как разберусь отпишу