Questione : Il percorso di SSG5 VPN, itinerario interno di lan funziona, itinerario di VPN non fa.

Ho una messa a punto bizzarra nel mio
dell'ISP del cliente network.

(Internet)                                 |
Simple 4 100mbit netgear port Switch
/\ itinerario statico VPN del
Cisco (IP statico 212.xxxx) Cisco (IP statico 193.xxx) all'altro office
/ginepro SSG5
del
              |
         Switch
             |Il mail server + gli utenti del
+ router

I hanno configurato un itinerario permanente al secondo Cisco che ha un indirizzo interno del

Internally che di 192.168.100.200 (ho usato questo come ingresso per l'itinerario) l'itinerario funziona, gli utenti di lan possono raggiungere. la gamma di indirizzo 193, ma gli utenti di dailin VPN possono raggiungere 193 il presupposto di indirizzo range.
My è che ha qualcosa todo con le politiche del VPN.
But se cambio le politiche per comprendere. la gamma 193 (sia assistente che cliente) i venire a mancare di VPN nelle seconde trattative di fase. (Il VPN non ha applicazione SA configurata.)
When rimuovo la linea supplementare nelle politiche che morbide del cliente IPSEC dello Shrew VPN il VPN funziona again.

Is là un senso permettere il traffico dagli utenti di VPN. alla gamma 193? il

Also vedo nel ceppo di VPN là è molta richiesta di DNS, in modo da penso che il cliente non utilizzi i loro propri assistenti di DNS, possa cambiare quelli pure, che utilizza soltanto gli assistenti di DNS a distanza per traffico specifico?


class= del

Risposta : Il percorso di SSG5 VPN, itinerario interno di lan funziona, itinerario di VPN non fa.

Spiacente per la mia assenza a lungo termine. Realmente ho incontrato difficoltà per ottenere insieme la vostra configurazione, ma non ho conosciuto che cosa chiedere di dichiararlo.

Dalla vostra descrizione lo stimo non ho usato i IDs espliciti di procura su SSG. Se non fate, l'identificazione di procura è derivata dalle entrate di indirizzo della politica.
Ho provato avanti e indietro ed il config che funziona per me era tenendo conto delle associazioni separate di sicurezza:

• In SSG: 
1. Generare una copia del vostro Manopola-nella definizione di VPN P2 (AutoKey IKE), cambiare la destinazione alla rete 193.x. Assicurar che la bandierina di identificazione di procura non sia controllata. Dargli un nome adatto, come “Manopola-in VPN 193.x„ 
2. Copiare il vostro manopola-nella politica (Untrust da fidarsi di). Cambiare al 193.x come destinazione e al VPN alla vostra definizione di recente creazione P2. 
• In Shrew:
  Cambiare le vostre regolazioni “di politica„ per comprendere entrambe le reti, esattamente nella maniera prevista nelle vostre politiche di SSG. 

Che esso. L'unico punto che potreste incontrare difficoltà ora è che lo ShrewSoft VIP non è conosciuto dal lato 193.x e/o da Cisco destro. Potreste volere provare al NAT che richiama nella politica corrispondente di SSG, quello dovreste aiutare