>> Неужели нет никого, кто сталкивался бы с подобной задачей ?
> так если вы не добавляли маршрут по-умолчанию через первый офис, то как
> вы пойдете в инет через него?Я понимаю что добавить маршрут нужно и я его добавлю, но проблемы начинаются ещё до того как я добавляю маршрут. Ведь на момент настройки второй офис выходит в интернет через своего провайдера и по идее всё должно работать нормально до момента пока не изменён шлюз по-умолчанию.
Что-то не так в настройках аццес листов или NAT, но что именно я не могу понять.
В данный момент решил вопрос тем что добавил следующий маршрут во втором офисе
route 0 0 172.16.0.2 250
Это IP на оптическом линке со стороны главного офиса.
Так же в аццес листах для туннеля оставил только внутренние сети.
access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET
В главном офисе добавил NAT для трафика, идущего с тунельного интерфейса в мир
nat (tunnel,outside) after-auto source dynamic any interface
nat (tunnel,backup) after-auto source dynamic any interface
и разрешил сетям второго офиса выход в интернет.
Таким образом весь внешний трафик идёт по оптическому линку без шифрования, которое в принципе не нужно для внешнего трафика при условии что между офисами есть прямой линк.
Но, вопрос остаётся открытым.
Как реализовать такую же схему, если туннель между офисами поднят не по отдельному линку, а через сети провайдеров ?
В сети есть много мануалов как это сделать в конфигурации для VPN Client (http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...), но как реализовать подобное для site-2-site VPN информации не нашёл.
[сообщение отредактировано модератором]
