Настройка Cisco EasyVPN Server

[Darkwolf]

Доброго времени суток!
Возникла необходимость в подключении удалённых клиентов по VPN (с шифрованием трафика) через интернет к нашей сетке. Из имеющегося: у нас - роутер Cisco 2821, выход в инет со свободным статическим ip-адресом; у клиентов – ПК с выходом в инет либо через 3G-модемы, либо через DSL соединение, с динамичными адресами.

Выбор как-то сам собой пал на Cisco EasyVPN.
Погуглив немного решил остановиться на ShrewSoft VPN Client как замене Cisco VPN Client (основная причина – это невозможность подружить последнего с Win7x64, а ShrewSoft VPN Client вроде как хвалили).
Сразу хочу сказать, что я не профи в построении подобных сетей на оборудовании циско, потому сразу полез за инструкциями. Вобщем, настроил Cisco EasyVPN Server опираясь вот на эту инструкцию:
http://www.cisco.com/en/US/prod/collate ... 313bf8.pdf
А клиентскую часть вот по этой:
http://habrahabr.ru/blogs/infosecurity/71077/
Вроде, всё лаконично и понятно, клиент соединяется, получает ip-адрес из пула, но вот пинг не проходит. Ни с клиента не достучаться ни до одного узла в сети предприятия, ни наоборот, с самой циски до клиента, кстати, тоже. В чём может быть проблема? Что я не донастроил (а то складывается такое ощущение, что в инструкции что-то упущено)?
Конфиг циски:

Код: Выделить всё

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router1
!
boot-start-marker
boot-end-marker
!
enable secret 5 pass1
!
aaa new-model
!
!
aaa authentication login userlist local
aaa authorization network remote-clients local 
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
ip domain name name.com
ip name-server 62.192.224.249
ip name-server 62.192.255.242
!
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username admin privilege 15 secret 5 pass2
username cisco password 7 pass3
!
! 
!
crypto isakmp policy 1
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local dynpool
crypto isakmp xauth timeout 60

!
crypto isakmp client configuration group remote-clients
 key key123
 dns 192.168.3.10
 domain name.local
 pool dynpool
 acl 150
!
!
crypto ipsec transform-set transform-1 esp-des esp-sha-hmac 
!
crypto dynamic-map dynmap 1
 set transform-set transform-1
 reverse-route 
!
!
crypto map dynmap client authentication list userlist
crypto map dynmap isakmp authorization list remote-clients
crypto map dynmap client configuration address respond
crypto map dynmap 1 ipsec-isakmp dynamic dynmap 
!
!
!
!
!
interface GigabitEthernet0/0
 ip address 192.168.3.3 255.255.0.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface GigabitEthernet0/1
 ip address aaa.bbb.ccc.ddd 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
 crypto map dynmap
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
ip local pool dynpool 192.168.7.10 192.168.7.30
ip route 0.0.0.0 0.0.0.0 aaa.bbb.ccc.eee
!
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface GigabitEthernet0/1 overload
!
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 150 permit ip 192.168.0.0 0.0.255.255 any
no cdp run
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 privilege level 15
 logging synchronous
 transport input ssh
!
scheduler allocate 20000 1000
!
end

Таблица маршрутизации с клиента:

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0        10.33.0.2      10.33.23.1       20
        10.33.0.0      255.255.0.0       10.33.23.1      10.33.23.1       20
        10.33.0.2  255.255.255.255       10.33.23.1      10.33.23.1       1
       10.33.23.1  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255       10.33.23.1      10.33.23.1       20
    62.192.235.37  255.255.255.255        10.33.0.2      10.33.23.1       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0      255.255.0.0     192.168.7.12    192.168.7.12       1
     192.168.7.12  255.255.255.255        127.0.0.1       127.0.0.1       30
    192.168.7.255  255.255.255.255     192.168.7.12    192.168.7.12       30
        224.0.0.0        240.0.0.0       10.33.23.1      10.33.23.1       20
        224.0.0.0        240.0.0.0     192.168.7.12    192.168.7.12       30
  255.255.255.255  255.255.255.255       10.33.23.1      10.33.23.1       1
  255.255.255.255  255.255.255.255     192.168.7.12    192.168.7.12       1
Основной шлюз:           10.33.0.2

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[lap]

Чтоб на вин7-64 заработал клиент, надо брать клиент под вин7-64 (у меня такой дома работает и все ок)
Насчет конфига могу дать кусок с живой железки. Настраивал несколько лет назад и что к чему несовсем помню

Код: Выделить всё

aaa authentication login vpnuserauthen local
aaa authorization network vpngroupauthor local 
!
ip cef
!
username vpn-user password vpn-password
!
crypto logging session
!
crypto isakmp policy 5
 encr 3des
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 encr aes
 authentication pre-share
 group 5
 lifetime 28800

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 20 periodic
!
crypto isakmp client configuration group VPN-GR
 key vpnkey
 dns IP1 IP2
 pool localippool
 acl 199
 netmask 255.255.255.255
crypto isakmp profile climap
   match identity group VPN-GR
   client authentication list vpnuserauthen
   isakmp authorization list vpngroupauthor
   client configuration address respond
!
crypto ipsec transform-set my-transf-set esp-3des esp-sha-hmac 
crypto ipsec transform-set my-transf-set-2 esp-3des esp-md5-hmac comp-lzs 
crypto ipsec transform-set my-transf-set-3 esp-3des esp-sha-hmac comp-lzs 
crypto ipsec transform-set my-transf-set-4 esp-3des esp-md5-hmac 

!
crypto dynamic-map my-dynamap 5
 set transform-set my-transf-set my-transf-set-2 my-transf-set-3 my-transf-set-4 
 set isakmp-profile climap
 reverse-route
!
crypto map clientmap 5 ipsec-isakmp dynamic my-dynamap 

!
interface GigabitEthernet0/0
 description To SW
 no ip address
 no ip proxy-arp
!
interface GigabitEthernet0/0.16
 description  (ISP)
 encapsulation dot1Q 16
 ip address X.X.X.X 255.255.255.252
 crypto map clientmap

ip local pool localippool 172.31.31.128 172.31.31.135

access-list 199 permit ip 10.10.50.0 0.0.0.255 any

[Darkwolf]

Всё, разобрался.
Вобщем, кому интересно, выкладываю рабочий конфиг:

Код: Выделить всё

!
! Last configuration change at 11:30:44 MSK Tue Feb 14 2012 by admin
! NVRAM config last updated at 11:30:38 MSK Tue Feb 14 2012 by admin
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router1
!
boot-start-marker
boot-end-marker
!
enable secret 5 pass1
!
aaa new-model
!
!
aaa authentication login ciscocp_vpn_xauth_ml_1 local
aaa authorization network ciscocp_vpn_group_ml_1 local 
!
aaa session-id common
!
resource policy
!
clock timezone MSK 4
!
!
ip cef
!
!
ip domain name name.com
ip name-server 62.192.224.249
ip name-server 62.192.255.242
!
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-502790975
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-502790975
 revocation-check none
 rsakeypair TP-self-signed-502790975
!
!
crypto pki certificate chain TP-self-signed-502790975
 certificate self-signed 01
  30820247 308201B0 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
  30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274 
  69666963 6174652D 35303237 39303937 35301E17 0D313230 32313331 31303630 
  305A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F 
  532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3530 32373930 
  39373530 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100 
  CDA45772 99436E19 6AA786DB 49ED3575 F335917A F05C887C 908F5164 7724C050 
  26646F2A 69D3F175 46ADF308 DC474017 C55D1AA1 525B5FD4 60A8C7E5 A8A6D812 
  325E2349 BF50BEC4 348D5B78 EB3F5F9F 46D95C99 221829D4 8B76B020 39BE1868 
  E393E8B6 BED38DC1 48B948C0 F7A5A594 7CD427F4 15078CCA DDCD0816 9376CC43 
  02030100 01A37130 6F300F06 03551D13 0101FF04 05300301 01FF301C 0603551D 
  11041530 13821172 6F757465 72312E61 6C76697A 2E636F6D 301F0603 551D2304 
  18301680 14F917E3 6D797DBC E936F290 39A6FE0E DD7341A5 A1301D06 03551D0E 
  04160414 F917E36D 797DBCE9 36F29039 A6FE0EDD 7341A5A1 300D0609 2A864886 
  F70D0101 04050003 81810039 ECDCBAA7 0D299A4F 92E19740 8AFADAEC 3A8DF5CB 
  007403FC FF0BF164 A37FEC86 E26575BC 7E8FB50A 8702570C 9FE63518 3F0A9708 
  D07233D1 6C260F20 64428539 DFE20C74 7FC51E35 96071F68 EE26E8CD BD79D344 
  40D0393F CD89122E D4E5B63E 243F175E 331FCBFD 21B61CA1 820839A3 224E2036 
  114ADE4B 8A03406F A6F548
  quit
username admin privilege 15 secret 5 pass2
username cisco password 7 pass3
!
! 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group remote-clients
 key key123
 dns 192.168.3.10
 domain name.local
 pool SDM_POOL_1
 acl 100
crypto isakmp profile ciscocp-ike-profile-1
   match identity group remote-clients
   client authentication list ciscocp_vpn_xauth_ml_1
   isakmp authorization list ciscocp_vpn_group_ml_1
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set transform-1 esp-3des esp-sha-hmac 
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set transform-1 
 set isakmp-profile ciscocp-ike-profile-1
!
!
!
!
!
!
interface GigabitEthernet0/0
 ip address 192.168.3.3 255.255.0.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface GigabitEthernet0/1
 ip address aaa.bbb.ccc.ddd 255.255.255.248
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no cdp enable
!
interface ATM0/1/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto 
!
interface Virtual-Template1 type tunnel
 ip unnumbered GigabitEthernet0/1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile CiscoCP_Profile1
!
ip local pool SDM_POOL_1 192.168.7.10 192.168.7.30
ip route 0.0.0.0 0.0.0.0 aaa.bbb.ccc.eee
!
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface GigabitEthernet0/1 overload
!
access-list 10 permit 192.168.0.0 0.0.255.255
access-list 23 permit 192.168.0.0 0.0.255.255
access-list 100 remark CCP_ACL Category=4
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
no cdp run
!
!
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
!
line con 0
 exec-timeout 0 0
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 privilege level 15
 logging synchronous
 transport input ssh
!
scheduler allocate 20000 1000
ntp clock-period 17180118
ntp update-calendar
ntp server 62.76.96.10 source GigabitEthernet0/1
ntp server 193.124.4.177 source GigabitEthernet0/1 prefer
ntp server 80.90.180.140 source GigabitEthernet0/1
!
end

Цисковский клиент тоже скачал, работает, точнее они оба нормально работают и ShrewSoft VPN Client и Cisco VPN Client.

[asst]

здравствуйте,
Можете посмотреть возвращаются ли ip адреса обратно в пул ,если у пользователя порвался интернет во время vpn сессии или зависают в "in use"

ROUTER#show ip local pool

Pool Begin End Free In use Blocked
ippool 172.16.207.57 172.16.207.57 0 1 0

[Darkwolf]

Приветствую!
Надо же, какое совпадение! Вот сейчас как раз с этим мучаюсь. У пользователей (обычно у тех которых 3G) рвётся инет и подвисают адреса в "In use".
От чего зависит удержание адреса, от времени жизни SA или есть ещё какой-то параметер?? И если нет, то как их можно сбросить принудительно?

[itd27m01]

В настройках пула можно указать время жизни адреса в секундах "ip local pool VPN 172.18.1.101 172.18.1.199 recycle delay 15".

[Darkwolf]

Вобщем-то проблема уже была решена, и актуальность потеряна, но всё равно благодарю за ответ.
Там, кстати, ещё команда есть для сброса sa (так сразу не вспомню её), правда сбрасывались все ассоциации, и как следствие все активные клиенты слетали, для особо запущенных случаев помогала

[pavelыь]

Darkwolf

sh cry ses br
У зависших соединений какой статус? Idle или standby?
Если idle, то в настройке криптомапы можно выставить максимальное время простоя, после которого будет пересогласован sa.
set security-association idle-time


А чистить сессии можно по адресам пиров.

sh crypto session
Выведет список сессий.

for example:
Interface: FastEthernet0/1
Session status: UP-ACTIVE
Peer: 212.2.2.2 port 41226
IKE SA: local 57.75.75.75/4500 remote 212.2.2.2/41226 Active
IPSEC FLOW: permit ip 192.168.0.0/255.255.0.0 192.168.100.0/255.255.255.0
Active SAs: 2, origin: dynamic crypto map

clear crypto session remote 212.2.2.2 port 41226

[Aughrim]

Darkwolf, так в чем же был затык? И по статье и по твоему конфигу перелопачивую настройки 2811 . коннект есть а сеть не видна. и пинги не ходят ни туда ни сюда.

[Darkwolf]

Darkwolf, так в чем же был затык?

С аутентификацией перемудрил немного и с ACL, если мне склероз не изменяет:)
В любом случае надо видеть полный конфиг что там у тебя получилось и логи.

З.Ы.: Сори, на сообщения не специально не отвечаю, т.к. почему-то перестали приходить уведомления о новых сообщениях в ветке.

[naglfar.ua]

Пробовал по мануалу Darkwolf'а настраивать свою железяку 2811. Вот конфиг:

Код: Выделить всё

username uservpn password 0 uservpn
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp client configuration group RA-VPN-GROUP
 key key123
 dns 8.8.8.8
 domain dom.local.ua
 pool VPN-POOL
 acl 110
crypto isakmp profile VPN-CLIENT
   match identity group RA-VPN-GROUP
   client authentication list USER-AUTH
   isakmp authorization list GROUP-AUTH
   client configuration address respond
   virtual-template 1
!
!
crypto ipsec transform-set TFS_1 esp-3des esp-sha-hmac
!
crypto ipsec profile cisco_prof_1
 set transform-set TFS_1
 set isakmp-profile VPN-CLIENT
!
interface FastEthernet0/0
 ip address 192.168.5.5 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no mop enabled
!
interface FastEthernet0/1
 ip address 192.168.7.30 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
 no mop enabled
!
interface Virtual-Template1 type tunnel
 ip unnumbered FastEthernet0/1
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile cisco_prof_1
!
ip local pool VPN-POOL 192.168.5.20 192.168.5.30
ip classless
!
no ip http server
no ip http secure-server
ip nat inside source list 10 interface FastEthernet0/1 overload
!
access-list 10 permit 192.168.5.0 0.0.0.255
access-list 110 permit ip 192.168.5.0 0.0.0.255 any

На клиенте не идет подключение, хотя конфиг почти такой же.
Вопрос к Darkwolf'у. Почему на Вашем конфиге пул адресов, который выдает VPN не из внутренней сети, а из внешней, т.е.

Код: Выделить всё

ip local pool POOL_1 192.168.7.1 192.168.7.100

,
ведь нас же интересует именно внутренняя сеть

[Darkwolf]

naglfar.ua, немного не понял что ты имеешь в виду под терминами "внутренняя" и "внешняя" сети?
aaa.bbb.ccc.ddd/29 - это внешняя сеть (провайдер).
192.168.0.0/16 (int gi0/0) - это самая что ни на есть внутренняя есть, следовательно, пул 192.168.7.0 - 192.168.7.100 сюда очень хорошо вписывается.
Клиент, коннектясь из интернета по easyvpn, получает для тоннельного адаптера адрес из пула 192.168.7.0 - 192.168.7.100, что вполне логично, и т.к. адрес 192.168.7.0, в данном конкретном случае, относится к адресному пространству LAN 192.168.0.0/16, то дополнительных маршрутов не требуется, и некст-хопом для данной сетки на удалённой машине будет тоннельный интерфейс (эту запись easyvpn client создаёт автоматически при установке соединения):

Код: Выделить всё

192.168.0.0      255.255.0.0     192.168.7.12    192.168.7.12

Ну а по твоей проблеме:

Пробовал по мануалу Darkwolf'а настраивать свою железяку 2811.
На клиенте не идет подключение, хотя конфиг почти такой же.

Не вижу в твоём конфиге как настроена AAA.

[naglfar.ua]

Большое спасибо. Когда увидел авторизацию в ААА - понял где облажался. Там были совсем другие логин и группа (с другого мануала):)

[Darkwolf]

naglfar.ua, да на здоровье
Там у меня в ЖЖшке всё достаточно хорошо разжёвано главное внимательнее копипастить
Обычно логика такая:
1)Если не соединяется, смотрим в сторону файервола и политик NAT (если есть).
2)Если соединяется, но не проходит авторизация/аутентификация, значит что-то напутал либо с ААА, либо с IPSec.
3)Если всё соединяется и имя пользователя/пароль походят, но ничего не пингуется, то там уже смотри на ACL, роутинг, свитчинг и т.д.

[DellST]

Добрый день!
Столкнулся с аналогичной проблемой.
Настроил easyVpn на cisco 881. Удаленный клиент получает адрес из локального пула 192.168.20.200 192.168.20.210. Клиент пингует ip роутера 192.168.1.1, ресурсы локально сети не видит, к пример 192.168.1.98.
Из локальной сети удаленный клиент пингуется.
Может кто-то, сталкивался раньше с такой проблемой?

Cisco#sh run
Building configuration...

Current configuration : 3564 bytes
!
! Last configuration change at 10:35:17 moscow Mon Oct 20 2014 by laskov
!
version 15.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Cisco
!
boot-start-marker
boot system flash:c800-universalk9-mz.SPA.154-2.T.bin
boot-end-marker
!
aqm-register-fnf
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication login VPN_CLIENT_LOGIN local
aaa authorization network default local
aaa authorization network VPN_CLIENT_GROUP local
!
!
!
!
!
aaa session-id common
memory-size iomem 5
clock timezone moscow 4 0
!
!
!
!
!
!
!
!
!
!


!
ip dhcp excluded-address 192.168.1.1 192.168.1.49
ip dhcp excluded-address 192.168.1.200 192.168.1.254
!
ip dhcp pool POOL
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 93.92.32.93
!
!
!
no ip domain lookup
ip domain name hi-tech.su
ip name-server 8.8.8.8
ip cef
login delay 5
no ipv6 cef

multilink bundle-name authenticated

!
username user password
!
!
no cdp run
!
ip ssh authentication-retries 0
ip ssh port 8871 rotary 1 2
ip ssh version 2
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp client configuration group VPN_CLIENTS
key Key
dns 8.8.8.8
pool VPN_CLIENT_POOL
acl 110
!
!
crypto ipsec transform-set TRANS_3DES_SHA esp-3des esp-sha-hmac
mode tunnel
!
crypto dynamic-map EXT_DYNAMIC_MAP 10
set transform-set TRANS_3DES_SHA
!
crypto map EXT_MAP client authentication list VPN_CLIENT_LOGIN
crypto map EXT_MAP isakmp authorization list VPN_CLIENT_GROUP
crypto map EXT_MAP client configuration address respond
crypto map EXT_MAP 10 ipsec-isakmp dynamic EXT_DYNAMIC_MAP
!
interface FastEthernet0
switchport access vlan 101
no ip address
!
interface FastEthernet1
switchport access vlan 101
no ip address
!
interface FastEthernet2
switchport access vlan 101
no ip address
shutdown
!
interface FastEthernet3
switchport access vlan 101
no ip address
shutdown
!
interface FastEthernet4
ip address 10.10.10.10 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map EXT_MAP
!
interface Vlan1
no ip address
!
interface Vlan101
description Office network
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip local pool VPN_CLIENT_POOL 192.168.20.200 192.168.20.210
ip forward-protocol nd
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list LIST interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 10.10.10.9
!
ip access-list extended LIST
deny ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
permit ip any any
!
!

access-list 110 permit ip 192.168.1.0 0.0.0.255 192.168.20.0 0.0.0.255
!
!
!
control-plane
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!

line con 0
no modem enable
line aux 0
access-class sl_def_acl in
line vty 0 4
rotary 1
transport input ssh
!
no scheduler allocate
!
!
end

[Darkwolf]

DellST, с маршрутами в сетке всё в порядке? Знают ли узлы в локалке о существовании 192.168.20.0/24? Файерволов, брандмауэров никаких на них не запущено?
И какой-то странный у тебя аксесс-лист для НАТа...

[Darkwolf]

Да и туннельного интерфейса не вижу...
Попробуй настроить согласно вот этого мануала (попиарюсь немного)
http://ker-laeda.livejournal.com/2274.html

[DellST]

Огромное спасибо! Написано великолепно! Завтра исправлю конфигурацию!