地点A
- 思科路由器 (877W),配置为传入 VPN IPSec 客户端连接
- 一些服务器,位于 192.168.0.0/24 网络中
地点 B
- 带有物理网卡和 vpnc 客户端(tun0/30.30.30.20,由站点 A 的 Cisco 路由器发送)的 Linux 机器,路由已启用
- 192.168.1.0/24 网络中的一些工作站
问题
虽然站点 B 可以使用其 LAN 地址成功访问站点 A 的服务器,但站点 A 中的服务器只能使用其 VPN 地址 ping Linux 机器。它们无法访问 192.168.1.0/24 LAN 中的工作站。
Cisco 路由器配置
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp client configuration address-pool local dynpool
!
crypto isakmp client configuration group groupxxx
key xxxx
pool dynpool
acl 105
crypto isakmp profile ciscocp-ike-profile-1
match identity group groupxxx
client authentication list ciscocp_vpn_xauth_ml_1
isakmp authorization list ciscocp_vpn_group_ml_1
client configuration address respond
virtual-template 2
!
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
!
crypto ipsec profile CiscoCP_Profile1
set transform-set ESP-3DES-SHA
set isakmp-profile ciscocp-ike-profile-1
access-list 10 permit 192.168.1.0 0.0.0.255
access-list 10 permit 30.30.30.0 0.0.0.255
access-list 10 permit 192.168.0.0 0.0.0.255
access-list 105 permit ip 30.30.30.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 105 permit ip 192.168.0.0 0.0.0.255 30.30.30.0 0.0.0.255
提前致谢。
答案1
添加
ip route 192.168.1.0 255.255.255.0 30.30.30.20
在思科路由器上,看看是否有效。
编辑:
你们中是否有任何类型的 NAT ?