Em có mô hình mạng như trong hình vẽ đây
Em đã thực hiện VPN site2site trên hai con Pix thong qua đương WAN rồi.
Trên con Pix ở Hưng Yên em đã thực hiện route từng bước và đã ok
route outside 172.16.0.0 255.255.255.0 192.168.0.1
route outside 192.168.1.0 255.255.255.0 172.16.0.5
Trên con Pix ở Hà Nội em cũng tạo 2 rout outside tương tự
route outside 172.16.0.0 255.255.255.0 192.168.1.2
route outside 192.168.0.0 255.255.255.0 172.16.0.1
Nhưng như thế thì máy 10.0.0.x không ping tới được dải 10.10.10.x
Khi em thay 2 lệnh route trên ở con Pix Hà Nội bằng lệnh route
route outside 0.0.0.0 0.0.0.0 192.168.1.2
thì kết nối VPN ok

Nhưng mà đường route 0.0.0.0 này em pải dùng cho ra internet nên không xài được cho WAN, mà dùng route từng bước kia lại ko tới được mặc dù ở Hưng Yên dùng được.

Các bro cho em giải pháp với, em đang bế tắc không biết làm thế nào? Liệu cấu hình router WAN có ảnh hưởng không ạ ( vì HY cấu hình một đầu và Hà Nội cấu hình một đầu và đi lên router trung tâm)

Có một điều lạ là hôm nọ em gõ sai gateway là route outside 0.0.0.0 0.0.0.0 172.168.0.1 mà nó vẫn thực hiện được VPN, thê mới lạ

Mong các bro giúp em với.
Thanks!!!

bạn cấu hình vpn trên con pix như thế nào?

hostname pixhn
nameif ethernet0 outside security0
nameif ethernet1 inside security100
ip address outside 192.168.1.254 255.255.255.0
ip address inside 10.10.10.254 255.255.255.0
interface e0 auto
interface e1 auto
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 192.168.1.2
access-list ipsec permit ip 10.10.10.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list nonat permit ip 10.10.10.0 255.255.255.0 10.0.0.0 255.255.255.0
global (outside) 1 192.168.1.250
nat (inside) 0 access-list nonat
nat (inside) 1 10.10.10.0 255.255.255.0 0 0
sysopt connection permit-ipsec
crypto ipsec transform-set minhhieu esp-des
crypto map pixmh 20 ipsec-isakmp
crypto map pixmh 20 match address ipsec
crypto map pixmh 20 set peer 192.168.0.254
crypto map pixmh 20 set transform-set minhhieu
crypto map pixmh interface outside
isakmp enable outside
isakmp key ****** address 192.168.0.254 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 hash md5


Đây là cấu hình của PIX tren HN, còn ở dưới HY thì đổi lại hostname và một số ip cho phù hợp.
Anh giúp em với, xem em có cấu hình sai j không ah? Em đang không biết là trường hợp này là ntn?
Đây là lần đầu tiên em làm về Network nên còn nhiều điều chưa biết lắm.
Mong các bro chỉ giúp. Thanks bro !!!

các bro ơi giúp em với ah.

bạn chỉ cấu hình VPN qua một đường thôi phải không? Có phải bạn không đặt yêu cầu về dự phòng (redundancy) cho VPN trên cả hai đường phải không?

Em cấu hình site2site trên WAN cho HN và HY
Còn em cấu hình Remote access cho HY
Trong mô hình mạng trên kia em ghi nhầm Lan HY thành Lan HN
Anh xem giúp em có sai chỗ nào không ạ
Em cảm ơn nhiều.