Здравствуйте!

Настроил site-to-site туннель между Cisco ASA и Win2k8r2 средствами брандмауэра Windows в режиме повышенной безопасности и службы RRAS. Туннель работает замечательно, клиенты из сети 172.23.0.0/16 видят клиентов 172.21.0.0/16 и наоборот, однако сам внутренний интерфейс сервера Win2k8r2 (172.21.0.1) недоступен для клиентов сети 172.23.0.0/16.

(172.23.0.0/16) -------| 172.23.0.1 ASA X.X.X.X | ----tunel---- |Y.Y.Y.Y Win2k8r2 172.21.0.1 |----- (172.21.0.0/16)


В ходе гугления наткнулся на идентичную проблему, но ветка умерла год назад без решения:

http://social.technet.microsoft.com/Forums/ru-RU/5a11012e-cd0c-4131-be01-82d92ab397e1/-win2008r2sp1-sitetosite-vpn


Может быть кто-нибудь сталкивался с подобной проблемой и нашёл решение?

Читал, что server vpn адрес не должен быть таким же как server local адрес, но оба в той же подсети 172.21.0.0/16

alef2474, не совсем понял ваше сообщение.
172.21.0.1 - это интерфейс win2k8r2 сервера который смотрит во внутреннюю сеть 172.21.0.0/16 и являющийся шлюзом для доступа в сеть 172.23.0.0/16, а Y.Y.Y.Y - это "белый" IP адрес, смотрящий в интернет. А в настройках туннеля сказано шифровать и перебрасывать весь трафик для сети 172.23.0.0/16 на адрес X.X.X.X.

Я сам не настраивал, а читал и понял, что на сервере может быть задан один адрес лок.сети для туннеля(куда приходит трафик с Y.Y.Y.Y для сети 172.21.0.0/16) и другой адрес лок сети для обращения к серверу по другим делам, например RDP. И обращаться к серверу всем надо по тому другому адресу. В каком окошке это делается не скажу. Погуглите по англоязычному и-нету.
Может, я неправильно понял.

alef2474, а, такой вариант, думаю, должен сработать, но, как-то это не красиво получается.