Вот информация по настройке VPN канала между CISCO ASA 5505 и ASA 5520.

Для меня было просто очень нужной информацией, т.к. мануалы из Интернета не работали…
Исходные данные:

Исходные данные:

ASA1 (ASA 5505):
Внешний адрес 10.1.1.1
Внутренняя сеть 192.168.1.0/24
VLAN на внешнем интерфейсе vlan2
VLAN на внутреннем интерфейсе vlan1
Трансформсет myset
Имя VPN карты mymap
Номер VPN карты number 1
Лист доступа для исключения из NAT nonat
Лист доступа для шифрования 100

ASA2 (ASA 5520):
Внешний адрес 10.1.1.2
Внутренняя сеть 192.168.10.0/24
VLAN на внешнем интерфейсе vlan2 VLAN на внутреннем интерфейсе vlan1
Трансформсет myset
Имя VPN карты mymap
Номер VPN карты number 2
Лист доступа для исключения из NAT nonat
Лист доступа для шифрования 100

Теперь переходим к конфигурированию VPN (допустим, что CISCO у вас уже отконфигурирована и имеет статические белые (если через Интернет) адреса на внешних интерфейсах)

Конфигурация ASA1:

#conf t
!...
! Часть конфигурации (настройка интерфейсов) опущена
!...
access-list 100 extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
access-list NONAT extended permit ip 192.168.1.0 255.255.255.0 192.168.10.0 255.255.255.0
nat-control
!
global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0
sysopt connection permit-ipsec
crypto isakmp enable outside
crypto isakmp identity address
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec df-bit clear-df outside
crypto map MYMAP 1 match address 100
crypto map MYMAP 1 set pfs group 2
crypto map MYMAP 1 set peer 10.1.1.2
crypto map MYMAP 1 set transform-set myset
crypto map MYMAP interface outside
tunnel-group 10.1.1.2 type ipsec-l2l
tunnel-group 10.1.1.2 ipsec-attributes
pre-shared-key cisco123
isakmp keepalive 10 2

Конфигурация ASA2:

#conf t
!...
! Часть конфигурации (настройка интерфейсов) опущена
!...
access-list 100 extended permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0
access-list NONAT extended permit ip 192.168.10.0 255.255.255.0 192.168.1.0 255.255.255.0
nat-control
global (outside) 1 interface
nat (inside) 0 access-list NONAT
nat (inside) 1 0.0.0.0 0.0.0.0
sysopt connection permit-ipsec
crypto isakmp enable outside
crypto isakmp identity address
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ipsec transform-set myset esp-3des esp-md5-hmac
crypto ipsec df-bit clear-df outside
crypto map MYMAP 2 match address 100
crypto map MYMAP 2 set pfs group 2
crypto map MYMAP 2 set peer 10.1.1.1
crypto map MYMAP 2 set transform-set myset
crypto map MYMAP interface outside
tunnel-group 10.1.1.1 type ipsec-l2l
tunnel-group 10.1.1.1 ipsec-attributes
pre-shared-key cisco123
isakmp keepalive 10 2

Вот и все, чисто теоретически все должно заработать.