Суть: есть asa 2811 в головном офисе к которой подключаются Cisco 871 по инету через VPN-у образуя несколько маршрутизируемых между собой под сетей. Есть провайдер который предоставляет возможность подключить несколько таких удаленных офисов где стоят Cisco 871 напрямую через свое оборудование к головному офису, но при этом не дает гарантий безопасности своего соединения. По сему очень хочется использовать оборудование приведенное выше для подключения этих офисов. Я попробовал воткнуть соединение прова в общую локальную сетку с asa 2811, и на другом конце настроил 871-ю так, как будто локальная сетка асы - это lanout указав асу шлюзом по умолчанию. ВПН на 871ой поднялся и все вроде бы заработало, но! после этого начались проблемы в удаленном офисе, 871-ая периодически отрубает клиентов от инета и от VPN-а, а именно перестает маршрутизировать на ip клиентов, помогает только переназначение клиенту другого ip, ребут 871-ой тоже помогает но не надолго.
Вопрос первый - почему циска отрубает клиетнов?
Вопрос второй - меня самого смущает эта схема, но ничего другого в голову не приходит, может у кого есть мысли как это сделать правильно?
вот конфиг
Cisco 781
Код: Выделить всё
c871#sh run
Building configuration...
Current configuration : 7126 bytes
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname c871
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 ...
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
aaa session-id common
!
resource policy
!
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 3:00
ip subnet-zero
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.30.127.1 172.30.127.100
ip dhcp excluded-address 172.30.127.200
!
ip dhcp pool office-1
import all
network 172.30.127.0 255.255.255.0
netbios-node-type h-node
default-router 172.30.127.200
dns-server 172.30.122.40 172.30.122.41 94.25.208.74 94.25.128.74
netbios-name-server 172.30.122.41
lease 10 23
!
!
ip domain name main.domain
ip name-server 172.30.122.40
ip name-server 172.30.122.41
ip ssh time-out 60
no ip ips deny-action ips-interface
!
!
crypto pki ...
enrollment selfsigned
subject-name ...
revocation-check none
...
!
!
crypto pki certificate ...
...
!
!
!
crypto isakmp policy 5
authentication pre-share
group 2
crypto isakmp key ... address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set dmvpnset esp-3des esp-sha-hmac
!
crypto ipsec profile dmvpnprof
set transform-set dmvpnset
!
!
!
!
interface Tunnel1
description ---- Host Dynamic Tunnel ----
ip address 172.30.136.27 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication dmvpn
ip nhrp map 172.30.136.1 x.x.x.x
ip nhrp map multicast x.x.x.x
ip nhrp network-id 99
ip nhrp holdtime 300
ip nhrp nhs 172.30.136.1
no ip mroute-cache
qos pre-classify
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile dmvpnprof
!
interface FastEthernet0
no cdp enable
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
!
interface FastEthernet3
no cdp enable
!
interface FastEthernet4
description --- off1 WAN ---
ip address 172.30.122.221 255.255.255.0
ip nat outside
ip virtual-reassembly
no ip mroute-cache
duplex auto
speed auto
no cdp enable
!
interface Vlan1
description ---- LAN interface ----
ip address 172.30.127.200 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip mroute-cache
!
interface Dialer1
no ip address
no cdp enable
!
router eigrp 1
network 172.30.136.0 0.0.0.255
network 172.30.0.0
auto-summary
eigrp router-id 172.30.136.27
!
ip classless
ip route profile
ip route 0.0.0.0 0.0.0.0 192.168.0.1
ip route 0.0.0.0 0.0.0.0 172.30.122.200
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map nonat interface FastEthernet4 overload
!
ip access-list extended nat_allow
...
!
access-list...
no cdp run
!
route-map nonat deny 5
match ip address nat_deny
!
route-map nonat permit 10
match ip address nat_allow
!
!
control-plane
!
banner login ^C
...
!
...
!
scheduler max-task-time 5000
end