>> ip access-list extendet External
>> permit tcp any any established
>> permit icmp any any echo-reply
>> permit udp any eq domain any
>> permit udp any eq ntp any
>> deny ip any any
> с таким листом vpn не заработает.Да, я его доработал, сейчас работает вот так (это скорее указание провайдера vpn канала):
permit tcp any any established
permit icmp any any echo-reply
permit udp any eq domain any
permit udp any eq ntp any
permit udp any eq isakmp host <vpn server1> eq isakmp
permit udp host <vpn server1> isakmp any eq isakmp
permit udp any eq isakmp host <vpn server2> eq isakmp
permit udp host <vpn server2> eq isakmp any eq isakmp
permit udp any eq isakmp host <vpn server3> eq isakmp
permit udp host <vpn server3> eq isakmp any eq isakmp
deny ip any any
Но у меня теперь проблема в том, что при
ip nat inside source static 192.168.14.2 IP2
перестаёт работать роутинг в подсеть провайдера. Вы видели, что я не хочу натить адреса локальной сети в подсеть провайдера, но т.к. роутинг туда не работает при настроенном статическом NAT, то пакеты туда вообще не попадают, если есть запись в ACL для NAT
deny 192.168.10.0 0.0.0.255 <ISP net> 0.0.0.15
Во все остальные сети, в том числе и интернет трафик идёт.