Предлагаю такой вариант.
Внутреннюю сеть подключаем цисковому маршрутизатору (ведь только ей надо ходить в впн и наоборот, так?). Дефолт у него - линуксовый маршрутизатор. В линуксовый маршрутизатор подключаем только циску и интернетный канал. Кого нужно - натим на нём.

Это сообщение отредактировал(а) ZeeLax - 16.4.2008, 21:50

Это не выход, уже думал об этой схеме, ньюанс еще в том, что в туннели некоторые нужно запускать трафик через NAT, так что тут нужно решение именно такое, чтобы NAT был до циски, вопрос весь в том, чтобы оптимизировать управлением всем этим хозяйством.

Добавлено через 6 минут и 43 секунды
Не походит еще и по той причине, что на линуховом маршрутизаторе будет стоять прокся и прозрачное проксирование с ведением статистики 

Тогда внутреннюю сеть в линух, инет туда же и циску туда же. А на циске рассказать, что в такие-то туннели натим, в такие-то - нет.

Я больше склонен к классической схеме циска <--> Linux <--> локалка. 

Тут вопрос в большей части во взаимодействии щлюза и внешнего роутера, то что натить надо на линуксе - это не обсуждается, в большей мере вопрос в том, каким образом это все удобнее отправлять на циску, делать ли для каждой сети которая идет через НАТ отдельный вилан и туда все засовывать, или же натить уже на циске.

Ничего в ней классического нет. К тому же, инет в этой схеме куда подключаться будет?


Что такое "внешний шлюз" и "роутер"?


Что именно, это? Трафик локалки? Трафик в VPN-сети? Давайте выражаться чётко, чтобы как можно меньше тратить времени на понимание вопроса/ответа.

Хорошо, объясню по-подробнее, Инет <--> Cisco <--> Linux <--> локалка



Не путаем местами "внешний шлюз" c "внешний роутер", другими словами имелся ввиду роутер периметра сети, ну это чтобы уж совсем было понятно. Под словом "Шлюз" понимался ВНУТРЕННИЙ ШЛЮЗ(PROXY) для локальной сети, т.е. та машина, которая будет выступать в качестве gateway для рабочих станций пользователей сети. (см. схему в первом посте).


Что именно, это? Трафик локалки? Трафик в VPN-сети? Давайте выражаться чётко, чтобы как можно меньше тратить времени на понимание вопроса/ответа.

Вообще имеется ввиду трафик локалки, мы о нем говорим, в данном контексте, когда идет речь об физическом соединении грубо говоря "eth0 <--> fa0/1", трафик из локалки ходит через транк, так вот я и спрашиваю, каким образом лучше сделать оставить как есть и весь трафик адресованный в туннели роутить через один вилан, или же для каждого туннеля создать свой отдельный вилан, а для дефолтного трафика - отдельный. Вопрос в большей части стоит в контексте простоты гибкости управления и сбора статистики, а так же в контексте расширения возможностей с приростом количества туннелей.

Вариант с созданием кучи влановых подинтерфейсов считаю лишней тратой времени и ресурсов. Да и гибкость у него на нуле. Причины следующие:

• каждый подинтерфейс это - нагрузка на процессор и область отображения в памяти, которая также конечна
• направлять трафик каждой VPN-сети в свой влановый подинтерфейс (роут-мапом или чем-то ещё подобным) опять же, трата ресурсов
• при добавлении туннеля, нужно соответствующим образом настроить часть маршрутизатора, отвечающую за VPN, потом создать подинтерфейс на интерфейсе, смотрящем с линукс, потом на линукс-маршрутизаторе создать подинтерфейс (для двух прошлых шагов надо ещё выделить номер виртуальной локальной сети), создать ещё один роут-мап - много и долго
• а смысл?

Если подинтерфейсов всего два - для интерент трафика и для трафика в VPN-сети, то жить уже легче. Опять же, вполне можно обойтись одним интерфейсом, разрулив каждую сеть (пачку сетей) в соответствующий интерфейс.
Линк в интернет всё же не вижу смысла держать на цисковом маршрутизаторе, т.к. доступ к нему необходим только линуксовому маршрутизатору - зачем лишний хоп?