easy vpn 两边nat问题 附上所有配置 相信这个拓扑很经典

我的easy vpn配置了以后，在外网可以拨通了，但是只有外网是单机拨号有公有ip的那种，才能顺利访问外网和公司内网；如果客户端是有经过普通路由器上网，就是客户端也要经过了nat的话，虽然拨通了，但是就不能访问内网了，外网还是没问题的。客户端用的是cisco vpn client5.0.04. 帮我看看配置有没有什么问题，很急的，谢谢

$ D0 _  s3 k  Y# J. `
; H; q. f! T+ l& Q服务器端配置如下，内网网段是192.168.0.0 255.255.0.0
aaa new-model
/ [- T; S( F3 R3 C3 C# F$ K!
aaa authentication login noacs line none
. x5 [3 m4 a& Z; _* jaaa authentication login vpn-authen local
$ w9 O) H) O; R) [) Caaa authorization network vpn-author local
+ P3 Z" h; C$ E) laaa session-id common

crypto isakmp policy 10
) ]% t' ?4 z3 Y2 @/ f hash md5
authentication pre-share
& o1 T( u" a# f) c1 J# h+ g group 2
crypto isakmp xauth timeout 30
!
crypto isakmp client configuration group moblie
" O% }4 |* t, V' f. \ key cisco
& k. Y+ b/ S  u1 f dns 192.168.3.11
domain peerservices.com
pool vpn-pool
( f+ J3 a0 j; C/ D6 \5 Y; ~* n acl 100
!
7 m' ], p# J. zcrypto ipsec transform-set vpn-set esp-des esp-md5-hmac
!
, I+ Z) D+ N4 H- j2 Ycrypto dynamic-map vpn-dyn 10
. x7 ?* F# S  x4 P9 R  X: v2 Z set transform-set vpn-set
reverse-route
. V- W  |# O( {!
crypto map cisco client authentication list vpn-authen
crypto map cisco isakmp authorization list vpn-author
0 O% S/ x2 V  P1 o) Ecrypto map cisco client configuration address respond
crypto map cisco 10 ipsec-isakmp dynamic vpn-dyn
!
. _( ~% g2 H) zvoice call carrier capacity active
% `3 r. Y# K, N3 V/ ^, S/ T$ A3 C
ip local pool vpn-pool 172.16.0.100 172.16.0.200
3 h: J4 c/ K0 A5 K  |& g+ B4 x!
Extended IP access list 100
( \4 D& {- p$ ]8 D0 {& f1 h permit ip 192.168.1.0 0.0.0.255 any
- J( j; a3 u3 G: p1 t permit ip 192.168.2.0 0.0.0.255 any
permit ip 192.168.3.0 0.0.0.255 any
6 B7 U, m5 O+ j2 F) [$ P$ `  Z2 y permit ip 192.168.4.0 0.0.0.255 any
: H6 f+ C! n# i! [ permit ip 192.168.5.0 0.0.0.255 any
& Z  U  D4 \. L2 V, v. u% o' t permit ip 192.168.6.0 0.0.0.255 any
0 _8 [6 Y! A* l9 {/ O5 ?* f
ip nat inside source list 111 interface Dialer1 overload

Extended IP access list 111
deny ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 (73 matches)
- ]6 b- f  A' s2 B5 V" S: E) C7 p/ e permit ip 192.168.0.0 0.0.255.255 any (211808 matches)

NAT-T 强制穿透
0 O2 G+ D4 E# N% B/ I/ zcrypto isakmp nat-traversal  20
7 M( c' G; c' G* X0 q增加上述语句试试看.以前碰到过类似问题.这个和客户端的路由器的性能有关系,客户端路由器是否支持IPSEC 以及支持的并发数,都有关系.
6 Q3 \7 W1 I( b* |& c# r+ F: D; b此案例还会引申出另外一个问题 , 在客户端 有两个指向同一站点的IPSECvpn通道建立后,只有一个客户可正常访问内网,这个就是并发的问题.

没有crypto isakmp nat-traversal 20这条命令T-T
ios问题？？我的version是c2600-ik8s-mz.122-11.T.bin
有没有人做成功的用的哪个ios版本？？

Cisco IOS的版本在12.2(13)T以后，可以支持NAT-T技术。

而且ios要有同时可以支持pppoe的才麻烦，有版本全称么？？

引用:                                                                                                                                作者: caesar318                                                                                                                                                                                                        而且ios要有同时可以支持pppoe的才麻烦，有版本全称么？？                                                                                                                当前版本支持PPPoE.
) r6 m9 K! r; o! C! ?4 ^2 Ec2600-ik9o3s3-mz.123-26.bin
6 d9 y6 C; p  Khttp://www.cisco.com/en/US/docs/ios/...html#wp1403772
3 ^+ O3 Y' J; J0 p) p8 ]2 _
, H$ @8 f; O. ?) e3 M( B8 j6 n此版本支持3DES 需要额外的license

我的路由器是2621哦，c2600-ik9o3s3-mz.123-26.bin支持么？？这个支持pppoe的吧，兄弟知道怎样查c2600-ik9o3s3-mz.123-26.bin的运行需求么？我的只有64M DRAM & 16 FLASH

http://www.cisco.com/en/US/docs/ios/...s/123REQS.html
6 F4 b2 t$ s1 Y2 E) IIP/FW/IDS PLUS IPSEC 3DES BASIC      
) ]2 A7 a8 {, h, Dc2600-ik9o3s3-mz.123-26.bin
Release Date: 18/MAR/2008

! H- d: X% {& L5 X% z& A, m4 z; J, hSize: 15706.82 KB (16083780 bytes)
, v6 C) ]- |- N7 c$ }0 XMinimum Memory: DRAM:64MB   Flash:16MB

兄弟太有心了，我试下，做个朋友吧，QQ651156457

升级了ios，还是没有nat-t这条命令