IPsec Xauth PSK, access-list _WEBADMIN_IPSEC_VirtualIPServer

[Sabur]

Доброго времени суток.

Нашел пост, что можно изменить заворачивание всего трафика клиента в IPSec на стороне сервера. Соответственно, чтобы через VPN были доступны только определённые подсети.

После проведения настроек на роутере, они были сохранены и отображались в running-config, но после включения VPN-сервер IPsec(Управление/Приложения) проведенные ранее настройки сбрасываются до тех которые были изначально.

А именно до:
access-list _WEBADMIN_IPSEC_VirtualIPServer
    permit ip 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

Проведенные настройки:
(config)> no access-list _WEBADMIN_IPSEC_VirtualIPServer
Network::Acl: "_WEBADMIN_IPSEC_VirtualIPServer" access list removed.
(config)> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0
Network::Acl: Rule accepted.
(config)> no crypto map VirtualIPServer virtual-ip nat 
IpSec::Manager: "VirtualIPServer": crypto map Virtual IP remote pool SNAT is disabled.

Такой ситуации нет с VPN-сервер L2TP/IPsec и VPN-сервер PPTP. Можно просто указать на Android в настройках созданной VPN 172.16.1.0/24 и эта сеть доступа, а интернет смартфона идёт через Wi-Fi или 4G.
Мне необходимо, чтобы также можно было сделать и IPsec Xauth PSK(VPN-сервер IPsec).

[Le ecureuil]

Если вносите изменения в cli, то дальнейшее управление этим сервером (включение и выключение) нужно тоже делать из cli, тогда не сбросится.

Web многие тонкости не знает.

[Sabur]

2 часа назад, Le ecureuil сказал:

Если вносите изменения в cli, то дальнейшее управление этим сервером (включение и выключение) нужно тоже делать из cli, тогда не сбросится.

Web многие тонкости не знает.

Провёл следующие настройки.
(config)> no access-list _WEBADMIN_IPSEC_VirtualIPServer
Network::Acl: "_WEBADMIN_IPSEC_VirtualIPServer" access list removed.
(config)> access-list _WEBADMIN_IPSEC_VirtualIPServer permit ip 172.16.1.0 255.255.255.0 0.0.0.0 0.0.0.0
Network::Acl: Rule accepted.
(config)> crypto map VirtualIPServer match-address _WEBADMIN_IPSEC_VirtualIPServer - Если не добавить в крипту match-address(он исчезает, когда выполняем команду no access-list и подключиться к IPSEC_VirtualIPServer не получиться).
IpSec::Manager: "VirtualIPServer": crypto map match-address set to "_WEBADMIN_IPSEC_VirtualIPServer".
(config)> no crypto map VirtualIPServer virtual-ip nat 
IpSec::Manager: "VirtualIPServer": crypto map Virtual IP remote pool SNAT is disabled.

При любой вариации настройки(172.16.1.0/24 или 0.0.0.0/0, или пустое значение) поля "Маршруты пересылки" в настройках VPN на Android - локальная сеть роутера доступна.
При такой настройке со смартфона выйти в Интернет уже не возможно ни через VPN(понятно, сами убрали nat), ни через 4G/Wi-Fi.

Включил nat на сервере. Мне же необходимо добиться, чтобы клиент сам мог менять направление трафика для выхода в Интернет, путём прописывания маршрута пересылки в настройках VPN на Android, как это работает с VPN-сервер L2TP/IPsec и VPN-сервер PPTP.
Почему-то всё равно весь трафик смартфона заворачиваться в VPN...