http://www.certification.ru/cgi-bin/forum.cgi?action=thread&...
про днс.дальше - я бы посоветовал бы конфигурить не через crypto map, а через tunnel protection. Проще получается с маршрутизацией и пониманием процессов прохождения пакета, имхо.
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
crypto isakmp key КОМБИНАЦИЯ_СИМВОЛОВ address IP_НАЗНАЧЕНИЯ_ТУННЕЛЯ
!
crypto ipsec transform-set aesset esp-aes 256 esp-sha-hmac
mode transport
!
crypto ipsec profile aes-vpn
set transform-set aesset
!
interface Tunnel0
description HEAD OFFICE
ip address 192.168.3.1 255.255.255.252
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source ВНЕШНИЙ_ИНТЕРФЕЙС(в твоем случае BVI1)
tunnel destination IP_НАЗНАЧЕНИЯ_ТУННЕЛЯ
tunnel protection ipsec profile aes-vpn
здесь - использование aes, так как некоторые вызывающие доверие люди проверяли, что aes работает быстрее des'а.
КОМБИНАЦИЯ_СИМВОЛОВ - то просто набор символов. Порядка 10 букв разного регистра и цифр хватит. На том конце ключ должен быть таким же.
ip mtu и ip tcp adjust-mss - на всякий случай избавляемся от мучений с MTU и туннелем с шифрацией. Объяснять, извини, долго, да и сам не сильный знаток :) но помогает.
ip address 192.168.3.1 255.255.255.252 - это значит, что на том конце будет 192.168.3.2 255.255.255.252. Маска такая - потомучто тунельная и в туннельной подсети может существовать только 2 адреса. Как-то так.
дальше - ты все ставишь реальный IP на vlan1 и зачем-то НАТ делаешь:
interface Vlan1
ip address 193.1.2.240 255.255.255.0
ip nat inside
Видимо, у тебя в сети реальные IP исторически сложившиеся издавних времен, бывало такое, читал, но не встречал лично.
для теста с ДНС - я бы вырубил
ip dns server
ip dns spoofing 213.145.129.20
и попробовал бы на клиенте прописать ДНС серв провайдера и проверить инет на клиенте
