Die Kunden-ASA muss auf jeden Fall IPSEC-over-TCP erlauben, sonst laufen die Antwortpackete in Eure lokale Instanz.
Protokoll ESP in der externen ACL auch für die internen Clients freigegen?
Greetz J@e
Und als kleine Ergänzung am rande... ;)
Wenn Deine Büchse auch DHCP macht, kannst Du mit dem Befehl "import all" im DHCP Pool, den Router dazu bewegen, das er die vom Provider bekommenen DNS Server den Clients weitermeldet...
Dann solltest Du die Adresse 192.168.20.3 aber auch dem Post Router zugestehen und nicht auf Dein Interface Eth0 binden... ;)
interface Ethernet0
description $ETH-SW-LAUNCH$$ETH-LAN$$FW_INSIDE$Firma LAN
ip address 192.168.20.3 255.255.255.0
und
ip route 10.200.0.0 255.255.0.0 192.168.20.3
Auf dem SELBEN Router, bringen nicht wirklich was!!!
Ähm, das verwirrt mich jetzt. Welcher Router soll das denn jetzt sein, der alte 800er oder der neue von der Post. Und warum setzt Du die Route auf die Adresse des eigenen Ethernet0???
Greetz J@e