Доступ нужен только в сеть "split_network include 192.168.0.0/24;" или есть еще набор?
Если сеть только одна то вам на roadwarrior'e достаточно добавить опцию generate_policy on;
после этого обе стороны должны добавлять политики для этой сети автоматом.
хотя я бы рекомендовал всегда включать эту опцию даже в случае когда сеть не одна, т.к полагаю что в сплит можно передать список сетей и клиент на них должен сгенерировать политики, сам не проверял, но иного способа я не вижу для таких железок как iPad и прочие агрегаты работающие на основе Cisco VPN client .
Если сеть не одна то политики будет логично добавлять и удалять скриптами во время открытия и закрытия сессий , также для мертвых допустимо, синтаксис там примерно следующий:
script "ph1.up" phase1_up;
script "ph1.down" phase1_down;
script "ph1.down" phase1_dead;
Содержимое самих скриптов примерно следующее:
ph1.up
Код: Выделить всё
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spdadd 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spdadd ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
ph1.down
Код: Выделить всё
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spddelete 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spddelete ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
Да тут я указал порт 500, хотя в случае ната будет отличаться, можно подставить соответствующие переменные. Для одной сети еще раз повторюсь такие скрипты излишни.