Построение Easy VPN c ASA5500 в качестве сервера и Cisco Router в качестве клиента

hostname ciscoasa
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 172.25.171.1 255.255.0.0
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.10.1 255.255.255.0
!
!--- Этот лист доступа используется в команде NAT 0 которая предотвращает NAT преобразование  
!--- над трафиком, соответствующим этому листу

access-list no-nat extended permit ip 10.10.10.0 255.255.255.0 192.168.10.0 255.255.255.0

!--- Этот лист доступа используется для определения трафика, который  
!--- должен проходить через туннель. Он привязывается к групповой политике которая определяет
!--- динамическую карту шифрования
access-list ezvpn extended permit ip 10.10.10.0 255.255.255.0 192.168.10.0 255.255.255.0

access-list OUT extended permit ip any any

!--- Определяем конфигурацию NAT.  
!--- NAT 0 запрещает  NAT для ACL определенного в данной конфигурации.
nat (inside) 0 access-list no-nat
access-group OUT in interface outside

route outside 0.0.0.0 0.0.0.0 172.25.171.2 1

!--- Далее определяем груповую политику, которую мы используем с  EasyVPN.  
!--- Определяем сети которые должны проходить через туннель

group-policy DfltGrpPolicy attributes
banner none
wins-server none
dns-server none
dhcp-network-scope none
vpn-access-hours none
vpn-simultaneous-logins 3
vpn-idle-timeout 30
vpn-session-timeout none
vpn-filter none
vpn-tunnel-protocol IPSec
password-storage enable
ip-comp disable
re-xauth disable
group-lock none
pfs disable
ipsec-udp enable
ipsec-udp-port 10000
split-tunnel-policy tunnelall
split-tunnel-network-list none
default-domain none
split-dns none
secure-unit-authentication disable
user-authentication disable
user-authentication-idle-timeout 30
ip-phone-bypass disable
leap-bypass disable
nem enable
backup-servers keep-client-config
client-firewall none
client-access-rule none

!--- Здесь определяются имя пользователя и пароль, связанные с этим VPN соединением.
!--- Вы также можете использовать AAA для этой функции
username cisco password 3USUcOPFUiMCO4Jk encrypted

!--- Конфигурация PHASE 2 ---!
!--- Здесь определяем тип шифрования для Фазы 2. Используем только шифрование DES с алгоримом хэширования MD5
crypto ipsec transform-set mySET esp-des esp-md5-hmac

!--- Определяем динамическую карту шифрования с указанными настройками шифрования
crypto dynamic-map myDYN-MAP 5 set transform-set mySET

!--- Привязываем созданную карту к процессу IPsec/ISAKMP.
crypto map myMAP 60 ipsec-isakmp dynamic myDYN-MAP

!--- Назначаем интерфейс для использования шифрования
crypto map myMAP interface outside

!--- Конфигурация PHASE 1  ---!

!--- Эта конфигурация использует политику isakmp  номер 1.  
!--- Политика с номером  65535 включается по умолчанию.
isakmp identity address
isakmp enable outside
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash md5
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

!--- Команды tunnel-group привязывают уже назначенные конфигурации к туннелю,
!--- который используется в EasyVPN.  
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *

version 12.4
!
hostname C871
!
!--- Создаем удаленную конфигурацию  Easy VPN Remote
crypto ipsec client ezvpn ASA

!--- IPsec VPN туннель автоматически создается когда функция EasyVPN конфигурируется на интерфейсе  
connect auto

!--- Имя группы должно соответствовать имени группы на удаленной стороне.

group DefaultRAGroup key cisco

!--- Указываем, что роутер должен стать удаленным расширением сети предприятия на другой стороне VPN

mode network-extension

!--- Указываем  IP адрес удаленной стороны для  VPN соединения.

peer 172.25.171.1

!--- Указываем как Easy VPN клиенту обрабатывать запросы расширенной аутентификации (Xauth).

xauth userid mode interactive


!--- Привязываем конфигурацию Easy VPN на внешний интерфейс.

interface FastEthernet4
ip address 172.30.171.1 255.255.0.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto ipsec client ezvpn ASA
!

!--- Привязываем конфигурацию Easy VPN на внутренний интерфейс.

interface Vlan1
ip address 192.168.10.1 255.255.255.0
ip access-group 100 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
ip tcp adjust-mss 1452
crypto ipsec client ezvpn ASA inside
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.30.171.2
!

!--- Вкючаем NAT на внутреннем интерфейсе.

ip nat inside source route-map EzVPN1 interface FastEthernet4 overload
!
access-list 100 permit ip any any
access-list 101 permit ip any any
access-list 103 permit ip 192.168.10.0 0.0.0.255 any
!
route-map EzVPN1 permit 1
match ip address 103
!
end