chào bạn ickhoa,

site-to-site va ezvpn có thể hoạt động chung với nhau.
Bạn kiểm tra lại cấu hình đi ,nếu không được thì post cấu hình lên để mọi người giúp bạn.

sh run
Building configuration...

Current configuration : 1553 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R-HCM
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
!
!
!
!
!
controller DSL 0/0/0
line-term cpe
!
track 1 rtr 123 reachability
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxx address 10.254.31.254
!
!
crypto ipsec transform-set strong esp-3des esp-sha-hmac
!
!
!
crypto ipsec client ezvpn ASA
connect auto
group ezvpn_hardware key xxxx
mode network-extension
peer 203.162.148.xxx
username xxxx password xxxxx
xauth userid mode local
!
!
crypto map abcd 1 ipsec-isakmp
set peer 10.254.31.254
set transform-set strong
match address 100
!
!
!
interface Loopback0
ip address 172.30.146.10 255.255.255.128
ip virtual-reassembly
crypto ipsec client ezvpn ASA inside
!
interface FastEthernet0/0
description To R-Megawan
ip address 10.254.31.2 255.255.255.252
duplex auto
speed auto
crypto map abcd
!
interface FastEthernet0/1
description To R-Lease
ip address 192.168.1.2 255.255.255.252
duplex auto
speed auto
crypto ipsec client ezvpn ASA
!
ip route 0.0.0.0 0.0.0.0 10.254.31.1
ip route 10.254.31.252 255.255.255.252 10.254.31.1
ip route 203.162.148.xxx 255.255.255.xxx 192.168.1.1
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 172.30.146.0 0.0.0.127 172.30.144.0 0.0.1.255
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end

R-HCM#

Vì tui đang test nên chưa cấu hình ip sla monitor, khi cần thi sẽ xoá default route đi va thêm vào cái default route 0.0.0.0 0.0.0.0 192.168.1.1

Với cấu hình trên thì boot router lên và show crypto isa sa thì sẽ thấy:
R-HCM#sh cry isa sa
dst src state conn-id slot status
203.162.148.xxx 192.168.1.2 QM_IDLE 1 0 ACTIVE
10.254.31.2 10.254.31.254 QM_IDLE 3 0 ACTIVE

Và lúc này tunnel site-2-site đang chạy, truy cập resources qua lại ok.
Tiến hành shutdown int f0/0, update lai default route và update lại route trên PIX luôn tuy nhiên không thể truy cập resources qua lại được nữa.
Muốn truy cập được thì trên PIX phải dùng lệnh "clear config crypto map" để xóa phần config site-2-site.

Thanks

Trường hợp Remote Access and L2L có cách cấu hình VPN khác so với cấu hình EZVPN thường gặp ,bạn tham khảo cấu hình ở link bên dưới để cấu hình chính xác.
link: http://cisco.com/en/US/products/ps58...809c7171.shtml

Thanks bạn nhưng mô hình của tui không giống như vậy.
1./ HO của tui là PIX/ASA
2./ Remote site là C1841 và chỉ muốn làm ezvpn client về HO thôi.

Cấu hình trên bạn thấy int f0/1 được gán ip 192.168.1.2 -> để cho tui dễ test thôi chứ thực tế nó sẽ nối với ADSL modem và dùng interface dialer.
Ý đồ chính là khi site-2-site bị rớt vì bất cứ lý do gì thì nó sẽ chuyển qua ezvpn tunnel để chạy tiếp. Có một điều xin phép được lưu ý bạn là site-2-site với PIX là interace khác và ezvpn với PIX là một interface khác.

Thuong traffic qua Asa/Pix bi Nat,nen lop mang vpn khi di qua Asa phai ko bi Nat,do vay ban xem phan No_Nat tren Asa cho lop mang vpn va local lan,

Thanks,

mình đã hiểu ý bạn là bạn muốn ezvpn làm backup nếu site-to-site bị đứt kết nối. Bạn kiểm tra lại cấu hình trên ASA đi, nếu chưa được thì post cấu hình trên asa lên mình xem , phía C1841 bạn cấu hình vậy là được rồi.

Cám ơn hai bạn đã góp ý. Tui làm được rồi, tuy nhiên thay đổi lại cấu hình một chút.

R-HCM#sh run
Building configuration...

Current configuration : 1537 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R-HCM
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip cef
!
!
!
!
ip sla monitor 123
type echo protocol ipIcmpEcho 10.254.31.254
frequency 10
ip sla monitor schedule 123 start-time now
!
!
!
!
!
controller DSL 0/0/0
line-term cpe
!
track 1 rtr 123 reachability
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key xxxxxx address 10.254.31.254
crypto isakmp key xxxxxx address 203.162.148.xxx
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set strong esp-3des esp-sha-hmac
!
crypto map mymap 1 ipsec-isakmp
set peer 10.254.31.254
set peer 203.162.148.xxx
set transform-set strong
match address 100
!
!
!
interface Loopback0
ip address 172.30.146.10 255.255.255.128
ip virtual-reassembly
!
interface FastEthernet0/0
description To R-Megawan
ip address 10.254.31.2 255.255.255.252
duplex auto
speed auto
crypto map mymap
!
interface FastEthernet0/1
description To R-Lease
ip address 192.168.1.2 255.255.255.252
duplex auto
speed auto
crypto map mymap
!
ip route 0.0.0.0 0.0.0.0 10.254.31.1 track 1
ip route 0.0.0.0 0.0.0.0 192.168.1.1 254
ip route 10.254.31.252 255.255.255.252 10.254.31.1
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 172.30.146.0 0.0.0.127 172.30.144.0 0.0.1.255
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
R-HCM#

Good job,
Thanks,

Các bạn cho hỏi thêm một chuyện nữa nha, dưới đây là một đoạn trong config của remote router.

interface ATM0/0/0
description Link with HO
ip address 10.254.31.10 255.255.255.252
no atm ilmi-keepalive
crypto map mymap
pvc 8/35
cbr 568
encapsulation aal5snap
!
!
ip route 0.0.0.0 0.0.0.0 10.254.31.9

Khi đứng trên PIX ở HO thì ping tới 10.254.31.9 -> ok nhưng không ping tới được ip 10.254.31.10 (VPN tunnel vẫn up và chạy bình thường)

Thanks,

--------------------- dưới đây là version của remote router.
Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(12c), RELEASE SOFTWARE (fc1)

Hôm nay troubleshoot bằng cách xóa lệnh "crypto map mymap" ra khỏi interface ATM0/0/0 thì ping được!

Ai có kinh nghiệm gì không?

Thanks