Доброго времени суток, гуру

Схема включения, в прикрепленном файле.
Устройство доступа, от скайлинка с примитивным NATом.
Вопрос в следующем, для работы туннеля пришлось добавить на:
RU16
crypto isakmp key XXXXX address 87.68.100.140
!
crypto map VPN local-address FastEthernet0/0
crypto map VPN 10 ipsec-isakmp
description RU00-RU16_VPN
set peer 87.68.100.140
set transform-set VPN
set pfs group2
match address RU00-RU16_VPN
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 10.107.1.3 255.255.255.255 192.168.1.1
ip route 87.68.100.140 255.255.255.255 192.168.1.1
!
ip access-list extended RU00-RU16_VPN
permit gre host 10.106.30.1 host 10.107.1.3

а на RU00r2 соответственно
crypto isakmp key XXXXX address 82.27.33.109
!
crypto map VPN local-address GigabitEthernet0/1
crypto map VPN 20 ipsec-isakmp
description RU00-RU16_VPN
set peer 82.27.33.109
set transform-set VPN
set pfs group2
match address RU00-RU16_VPN
!
ip route 10.106.30.0 255.255.255.0 Tunnel9
ip route 10.106.30.1 255.255.255.255 87.68.100.1
ip route 82.27.33.109 255.255.255.255 87.68.100.1
!
ip access-list extended RU00-RU16_VPN
permit gre host 10.107.1.3 host 10.106.30.1


При таком решении все работает, но как понятно не возможно из сети 10.107.1.0 зайти на первый адрес 10.106.30.1 и наоборот.

Может есть более правильное решение??

При такой схеме, когда адреса известны, можно попробовать добавить к IPSec NAT-T (как для динамических подключений)

Типа, если на пути следования есть НАТ, то включать оборачивание ESP в UDP/4500

Однако, если пролезает GRE, почему нельзя так же пробросить ESP?

Ну и наконец, а для чего нужно обращаться конкретно к этим адресам? Может достаточно к туннельным адресам? Или лупбэк какой-нить зарядить

Пока не совсем понятна задача.

Да нет, конкретно к этим не обязательно, понятно что я могу и по лубкеку попасть.
Вопрос был - правильно ли сделано
Или лучше, как то лучше сделать )))))

Т.е. конкретной задачи нет - все работает, просто хотелось что бы профи оценил правильность решения.

ПРавильно то, что хорошо и уверенно работает

Конфига рабочая, расширяемая: и роутинг туда и мультикаст воткнуть можно, так что вполне

Я бы начал с чистого IPSec, потом попробовал его через NAT-T пустить, а уже если новые задачи родились бы - тогда тоже в туннель загонял. Только не вешал бы крипто мапу, а создал crypto ipsec profile и нацепил бы его на int tunnel.

Впрочем, это дело вкуса.

ЗЫ Я в конфиге не вижу, но для оптимизации стоит использовать transform set в транспортном режиме.

Вот кусок конфига с transform-set

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set VPN esp-3des esp-sha-hmac

У вас получает трансформ-сет в туннельном режиме. Т.е. вы дважды добавляете ip заголовок (20 байт)

Но в этом нет необходимости: GRE уже добавил свой заголовок. IPSec добавит такой же ip заголовок.

Поэтому ИМХО стоит написать с двух сторон
transform-set <NAME> ... (входим в режим трансформ-сета)
mode transport