https://opennet.ru/openforum/vsluhforumID6/17292.html Собственно zywall просто даже не видит как циска к нему стучится... всё перепробовали.<br> https://opennet.ru/openforum/vsluhforumID6/17292.html#3 Mon, 06 Oct 2008 05:48:53 GMT &gt;&gt;&gt;Собственно zywall просто даже не видит как циска к нему стучится... всё &gt;<br>&gt;&gt;access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 <br>&gt;<br>&gt;Мне кажется если не видит то все дело в твоем ACL <br>&gt;Попробуй туда прописать <br><br>Во-первых, это кусок конфига не автора темы, а мой.<br>А во-вторых - он полностью рабочий :)<br><br>И с учетом того, что этот ACL используется для криптомэпа "sklad", то в нем прописаны как раз адреса с каких на какой надо таки криптовать...<br><br>А вот если на внешнем интерфейсе еще и NAT висит, то в ACL'е, описывающим что NAT'ить, а что - нет, надо запретить NAT'ить пакеты, идущие из одного в офиса в другой<br><br>Нечто вроде<br>interface FastEthernet4<br> ip nat outside<br><br>ip nat inside source list 101 interface FastEthernet4 overload<br><br>access-list 101 deny ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255<br>access-list 101 permit ip 192.168.2.0 0.0.0.255 any<br><br><br>См. <br>NAT Order of Operation<br>http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080133ddd.shtml<br><br><br> https://opennet.ru/openforum/vsluhforumID6/17292.html#2 Sun, 05 Oct 2008 17:29:48 GMT &gt;&gt;Собственно zywall просто даже не видит как циска к нему стучится... всё &gt;<br>&gt;access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 <br><br>Мне кажется если не видит то все дело в твоем ACL<br>Попробуй туда прописать <br><br>access-list 100 permit host (твой внешний ip) host (внешний адрес зухеля)<br><br>Напиши потом, интересно в этом ли дело<br> https://opennet.ru/openforum/vsluhforumID6/17292.html#1 Thu, 02 Oct 2008 14:17:17 GMT &gt;Собственно zywall просто даже не видит как циска к нему стучится... всё <br>&gt;перепробовали. <br><br>Кусок живого конфига от циски - соединяемой с ZyWall 35<br><br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> lifetime 28800<br>crypto isakmp key 6 xxxx address &lt;IP-адрес-зюхеля&gt;<br>!<br>!<br>crypto ipsec transform-set myset esp-3des esp-sha-hmac<br>!<br>crypto map sklad 10 ipsec-isakmp<br> set peer &lt;IP-адрес-зюхеля&gt;<br> set transform-set myset<br> match address 100<br>!<br>!<br>!<br><br>interface FastEthernet4<br> ip address 80.xx.xx.xx 255.255.255.252<br> ip virtual-reassembly<br> speed 10<br> full-duplex<br> crypto map sklad<br><br>access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255<br><br><br><br>