Question : Le cheminement de SSG5 VPN, itinéraire interne de LAN fonctionne, itinéraire de VPN ne fait pas.

J'ai d'installation étrange dans mon
d'ISP du client network.

(Internet)                                 |
Simple 4 100mbit netgear gauche Switch
/\ itinéraire statique VPN du
Cisco (IP statique 212.xxxx) Cisco (IP statique 193.xxx) à l'autre office
/au genévrier SSG5
du
              |
         Switch
             |Le mail server + les utilisateurs du
+ le router

I ont configuré un itinéraire permanent au 2ème Cisco qui a une adresse interne du

Internally de 192.168.100.200 (j'ai employé ceci comme passage pour l'itinéraire) que l'itinéraire fonctionne, les utilisateurs de LAN peuvent atteindre. la plage d'adresses 193, mais les utilisateurs du dailin VPN peuvent atteindre 193 la prétention de l'adresse range.
My est qu'elle a quelque chose todo avec les politiques du VPN.
But si je change les politiques pour inclure. la gamme 193 (serveur et client) les échouer de VPN dans les 2èmes négociations de phase. (Le VPN n'a pas application SA configurée.) est-ce que
When j'enlève la ligne supplémentaire dans les politiques douces de la cliente IPSEC de la musaraigne VPN que le VPN fonctionne again.

Is là une manière de permettre le trafic des utilisateurs de VPN. à la gamme 193 ? le

Also que je vois dans la notation de VPN là sont beaucoup de demande de DNS, est-ce qu'ainsi je pense que le client n'utilise pas leurs propres serveurs de DNS, peux je changer ceux aussi bien, qu'elle utilise seulement les serveurs de DNS à distance pour le trafic spécifique ?


class= de

Réponse : Le cheminement de SSG5 VPN, itinéraire interne de LAN fonctionne, itinéraire de VPN ne fait pas.

Désolé pour mon absence à long terme. J'ai vraiment eu des difficultés pour obtenir votre configuration ensemble, mais n'ai pas su quoi demander à expliquer.

De votre description je vous compte n'ai pas employé des IDs explicites de procuration sur SSG. Si vous ne faites pas, l'identification de procuration est dérivée des entrées de l'adresse de la politique.
J'ai examiné dans les deux sens, et la config fonctionnant pour moi était en tenant compte des associations séparées de sécurité :

• Dans SSG : 
1. Créer une copie de votre Cadran-Dans la définition de VPN P2 (AutoKey IKE), changer la destination en réseau 193.x. S'assurer que le drapeau d'identification de procuration n'est pas vérifié. Lui donner un nom approprié, comme « Cadran-Dans VPN 193.x » 
2. Copier le votre cadran-dans la politique (Untrust à faire confiance). Changer en le 193.x comme destination, et le VPN en votre définition P2 de création récente. 
• Dans la musaraigne :
  Changer vos arrangements de « politique » pour inclure les deux réseaux, exactement de la manière prévue dans vos politiques de SSG. 

Qu'il. Le seul point que vous pourriez avoir des difficultés est maintenant que le ShrewSoft VIP n'est pas connu par le côté 193.x et/ou le Cisco droit. Vous pourriez vouloir essayer à NAT qui adressent dans la politique correspondante de SSG, celui devriez aider