Не работает easy vpn !!!

[pismenov]

Добрый день! Есть роутер - cisco 2811, настроен VPN site-to-site до филиала, все прекрасно работает. Задача - настроить Easy VPN Server для доступа работников из дома. Кусок конфига:

Код: Выделить всё

aaa new-model
!
!
aaa authorization network xxx-vpn-group local
!
aaa session-id common

crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key xxxkey address адрес филиала
!
crypto isakmp client configuration group xxx-vpn-group
key Xxx2222
dns 10.0.1.3
pool xxxvpnpool
acl 106
!
!
crypto ipsec transform-set to_xxx esp-des esp-md5-hmac
crypto ipsec transform-set xxx-easy-vpn esp-3des esp-sha-hmac
!
crypto dynamic-map xxx-dyn-map 1
set transform-set xxx-easy-vpn
reverse-route
!
!
!
crypto map xxxvpn isakmp authorization list xxx-vpn-group
crypto map xxxvpn client configuration address respond
crypto map xxxvpn 10 ipsec-isakmp
set peer адрес филиала
set transform-set to_xxx
match address 105
crypto map xxxvpn 65535 ipsec-isakmp dynamic xxx-dyn-map
!
!
!

interface FastEthernet0/0
ip address адрес головоного офиса 255.255.255.0
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
crypto map xxxvpn
!

ip local pool xxxvpnpool 10.0.1.100 10.0.1.105


access-list 106 permit ip 10.0.1.0 0.0.0.255 any
!
!
control-plane
!

При такой конфигурации site-to-site продолжает работать. Пытаюсь доступиться easy vpn клиентом, отваливается по таймауту. Очень нужна помощь. В работе с cisco новичек.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

Код: Выделить всё

sh log
sh ver
sh run

[pismenov]

Поключиться удалось!!! Клиент получил ip адресс. Но связи с внутренней сетью нема... Пускаю ping до внутр. интерфейса cisco, делаю show crypto ipsec sa:

Код: Выделить всё

interface: FastEthernet0/0
    Crypto map tag: scpbvpn, local addr xx.69.xx0.51

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (10.0.1.101/255.255.255.255/0/0)
   current_peer 217.8.236.165 port 59616
     PERMIT, flags={}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: xx.69.xx0.51, remote crypto endpt.: 217.8.236.165
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0x7BC5E660(2076567136)

     inbound esp sas:
      spi: 0x55CD12D2(1439503058)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3003, flow_id: NETGX:3, crypto map: scpbvpn
        sa timing: remaining key lifetime (k/sec): (4571870/3455)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x7BC5E660(2076567136)
        transform: esp-3des esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 3004, flow_id: NETGX:4, crypto map: scpbvpn
        sa timing: remaining key lifetime (k/sec): (4571870/3455)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

Пакеты не ходят...