https://opennet.ru/openforum/vsluhforumID6/16550.html Всем здравствуйте!<br>Возникла проблема с подключением клиентов к EasyVPN Server(построенной на базе Cisco 871). Если быть более точным, клиент подключается к серверу, ему выдется ip из локальной сети 192.168.0.0/24, до терминальных серверов пинги успешно проходят, но попытки подключиться на внутренний сервер по RDP или просто зайти на шаринг не проходят. Sh crypto isakmp sa и ipsec sa показывают что соединение активно, количество enc пакетов растет. Пробывал из нескольких сетей подключаться, на компьютерах firewall-ы отключены. <br><br>Заранее спасибо!<br> <br><br>Вот конфиг рутера:<br>gw.xxx.xxx(config)#do sh run<br>Building configuration...<br><br>Current configuration : 5671 bytes<br>!<br>version 12.4<br>no service pad<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>no service password-encryption<br>!<br>hostname gw.xxxx.xxxxx<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging buffered 52000 debugging<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authentication login vpn_xauth loca https://opennet.ru/openforum/vsluhforumID6/16550.html#5 Mon, 23 Jun 2008 05:13:20 GMT &gt;[оверквотинг удален]<br>&gt;crypto map CMAP client configuration address respond <br>&gt;crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP <br>&gt;! <br>&gt;<br>&gt;<br>&gt;а так: <br>&gt;<br>&gt;crypto map dynmap isakmp authorization list hw-client-groupname <br>&gt;crypto map dynmap client configuration address respond <br>&gt;crypto map dynmap 1 ipsec-isakmp dynamic dynmap <br><br>ИМХО первый вариант правильней<br>мне кажеться что клиентов лучше вывести в другую подсеть и переписатть 102 ацл <br><br> https://opennet.ru/openforum/vsluhforumID6/16550.html#4 Fri, 20 Jun 2008 12:55:55 GMT <br>Может я ошибся и м\необходимо написать не так:<br><br>crypto dynamic-map DYNMAP 1<br>set transform-set FOR_EASYVPN<br>reverse-route<br>!<br>!<br>crypto map CMAP client authentication list vpn_xauth<br>crypto map CMAP isakmp authorization list vpn_group<br>crypto map CMAP client configuration address respond<br>crypto map CMAP 65535 ipsec-isakmp dynamic DYNMAP<br>!<br><br><br>а так:<br><br>crypto map dynmap isakmp authorization list hw-client-groupname<br>crypto map dynmap client configuration address respond<br>crypto map dynmap 1 ipsec-isakmp dynamic dynmap<br> https://opennet.ru/openforum/vsluhforumID6/16550.html#3 Fri, 20 Jun 2008 12:41:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;interface Vlan1<br>&gt;&gt; description LAN Interface <br>&gt;&gt; ip address 192.168.0.101 255.255.255.0 <br>&gt;&gt; ip nat inside <br>&gt;&gt; ip virtual-reassembly <br>&gt;&gt; ip tcp adjust-mss 1452 <br>&gt;&gt;! <br>&gt;<br>&gt;А ip tcp adjust-mss 1452 на VLAN1 поставил? <br><br>нет, не ставил<br> https://opennet.ru/openforum/vsluhforumID6/16550.html#2 Fri, 20 Jun 2008 12:39:18 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;interface Vlan1<br>&gt;&gt; description LAN Interface <br>&gt;&gt; ip address 192.168.0.101 255.255.255.0 <br>&gt;&gt; ip nat inside <br>&gt;&gt; ip virtual-reassembly <br>&gt;&gt; ip tcp adjust-mss 1452 <br>&gt;&gt;! <br>&gt;<br>&gt;А ip tcp adjust-mss 1452 на VLAN1 поставил? <br><br>нет не ставил<br> https://opennet.ru/openforum/vsluhforumID6/16550.html#1 Fri, 20 Jun 2008 10:36:16 GMT &gt;[оверквотинг удален]<br>&gt; speed auto <br>&gt; crypto map CMAP <br>&gt;! <br>&gt;interface Vlan1<br>&gt; description LAN Interface <br>&gt; ip address 192.168.0.101 255.255.255.0 <br>&gt; ip nat inside <br>&gt; ip virtual-reassembly <br>&gt; ip tcp adjust-mss 1452 <br>&gt;! <br><br>А ip tcp adjust-mss 1452 на VLAN1 поставил?<br>