Fråga : Sändningen för SSG5 VPN, den inre LAN-rutten fungerar, VPN-rutten gör inte.

Jag har ett kusligt att ställa in i min
för ISP för strömbeställaren network.

(internet)                                 |
Simple 4 port netgear 100mbit Switch
/\ statisk elektricitetrutt VPN för
Cisco (statisk elektricitetIP 212.xxxx) Cisco (statisk elektricitetIP 193.xxx) till annan office
/en SSG5
för
              |
         Switch
             |En e-postserver + användare för
+ trådlös router

I konfigurerade en permanent rutt till den 2nd ciscoen som har ett inre att tilltala av 192.168.100.200 (jag använde denna som en nyckel för rutten)

Internally som, rutten fungerar, LAN-användare kan ne 193na. tilltalar spänner, men användarena för dailinen VPN kan ne 193na tilltalar antagande för range.
My är att det har något todoen med politiken av VPN.But, om jag ändrar politiken för att inkludera 193na. spänner (både serveren och beställaren) VPN-kuggningarna i 2nd arrangerar gradvis förhandlingar. (VPNEN inte har konfigurerad applikation SA.),
When som jag tar bort extrahjälpen, fodrar i politiken för beställaren IPSEC för shrewen den mjuka VPN VPN-arbetena fin again.

Is där a långt som låter trafikera från VPN-användarena till 193na. spänner?

Also som jag ser i VPNEN, loggar där är en raddaDNS-förfrågan, så mig funderare beställaren använder inte deras egna DNS-serveror, kan jag ändra de som väl, som den använder endast fjärrkontrollDNS-serverorna för närmare detalj trafikerar?


" klar "

Svar : Sändningen för SSG5 VPN, den inre LAN-rutten fungerar, VPN-rutten gör inte.

Ledset för min långsiktiga frånvaro. Jag hade egentligen svårigheter som tillsammans får din konfiguration, men visste inte vad för att fråga att göra det mer frikänd.

Från din beskrivning har jag räknar dig inte använt explicit närståendeIDs på SSG. Om du inte gör, närståendeLEGITIMATIONEN härledas från politiken tilltalar tillträden.
Jag har testat fram och tillbaka, och configarbetet för mig var, genom att låta för separata säkerhetsanslutningar:

  • I SSG: 
    1. Skapa en kopiera av ditt Visartavla-I definitionen för VPN P2 (AutoKey IKE), ändra destinationen till 193.xen knyter kontakt. Se till att närståendeLEGITIMATIONEN att sjunka inte kontrolleras. Ge det en känd anslå, något liknande ”Visartavla-I VPN 193.x”, 
    2. Kopiera ditt visartavla-i politik (Untrust som ska litas på). Ändra till 193.xen som destination och VPNEN till din nyligen skapade definition P2. 
  • I Shrew:
    Ändra dina ”politik” inställningar för att inkludera båda knyter kontakt, exakt som förutsatt att i din SSG-politik. 

Att det. De enda pekar som dig, styrkan har svårigheter är nu att ShrewSoften VIP inte är bekant vid sidan 193.x och/eller högerCisco. Du styrkan önskar försök till NAT, som tilltalar i den motsvarande SSG-politiken, det bör hjälpa

Andra lösningar  
 
programming4us programming4us