[cameron]

Цитата end44:

Думаю рыть нужно в сторону DMVPN »

джунипер не поддерживает сугубо цисковый DMVPN.
что бы попытаться это сделать нужно, как минимум, заменить Juniper на Cisco.
далее у меня нет уверенности что длинк умеет хоть как-то пропускать сквозь себя GRE, потому что кошка за NAT'ом (даже двумя).
ну и ещё будут грабли с MTU наверно.

[end44]

К сожалению, возможности замены Juniper нет.
Хотя бы пните в каком направлении думать.

[kim-aa]

Цитата end44:

Думаю рыть нужно в сторону DMVPN, но пока не силен в этом всем. Помогите пожалуйста с конфигом. »

DMVPN тут абсолютно не причем.

В связи со спецификой IPSEC+NAT рыть нужно в сторону "nat traversal" (http://www.cisco.com/en/US/docs/ios/.../ftipsnat.html)

P. S. Технология NAT Traversal решает две проблемы:
- нарушение подписи IPSec в результате NAT
- убогости некоторых девайсов

Сама суть технологиии - упаковка IPSec пакетов в сегменты протокола более высокого уровня. Обычно это UDP.

2) Да, кстати.
А гугл уже отменили?
http://www.marfitsin.ru/index.php/ar...iscojunipervpn

[end44]

Я в цисках и джуниперах, как бы помягче сказать...новичек. И ищу пинка в нужном направлении, за тягу к знаниям еще никого не наказывали))
По поводу ссылки: спасибо, но там рассмотрена Junos, в ssg140 используется более старая screenos. Различия думаю между ними будут...

[cameron]

Цитата end44:

Различия думаю между ними будут... »

будут, но всё что вам нужно это найти на сайте джунипера информацию о настройке site-to-site применительно к screenos и всё.
только вот я не понимаю чем вам это поможет, если

Цитата end44:

внешний ИП-адрес на этой железке серый. »

то есть она за натом провайдера, который вряд ли будет что-то делать.

[end44]

Site-to-site думаю не поможет, т.к. циска за натом и джунипер не сможет отправить на нее данные.
А AC-VPN не аналог DMVPN на джуниперах случайно? Если настроить на джунипере его, а на циске spoke? Как такой вариант?

[cameron]

Цитата end44:

Site-to-site думаю не поможет »

а вы в свою задачу смотрели? или там слово "Site" написано от балды, для красного словца?
если речь идёт о том что бы кошка была клиентом - то нужно смотреть умеет ли она быть клиентом и цепляться согласно конфигу, тогда серые адреса и наты ей, скорее всего, не помеха.

[end44]

Я дико извиняюсь что ввел в заблуждение этим словом

Под словом site имеется ввиду сторона, то есть:

Локалка A------Cisco (DHCP)----------Internet----------(static IP) Juniper------ Локалка B


Кстати, циска должна быть именно клиентом.

[kim-aa]

1)

Цитата cameron:

а вы в свою задачу смотрели? или там слово "Site" написано от балды, для красного словца? если речь идёт о том что бы кошка была клиентом - то нужно смотреть умеет ли она быть клиентом и цепляться согласно конфигу, тогда серые адреса и наты ей, скорее всего, не помеха. »

Cisco может быть только клиентом PPTP. Это принципиальная позиция Cisco. PPTP-cервер не поддерживается.

2) end44,

Нужно понимать, что именно вы хотите сотворить:
a) Равноправное соединение маршрутизаторов типа IPSEC.
Т.к. один из участников за NAT, то нужно использовать "nat-traversal" (или NAT-T).
http://kb.juniper.net/InfoCenter/ind...tent&id=KB4741
Так же на D-LINK нужно будет настроить порт-маппинг для того UDP-порта который будет использовать CISCO для NAT-T

б) Клиент-серверное соединение.
В этом случае на Juniper нужно поднять PPTP сервер, а на Cisco настроить PPTP клиента