Cisco

通過 VPN ping Cisco ASA

  • August 8, 2012

ASA1 是 8.4(2) @ 192.168.1.1,後面是 host1 @ 192.168.1.10

ASA2 是 8.4(3) @ 192.168.2.1,後面是 host2 @ 192.168.2.10

從主機 1 ping 到主機 2 有效,但我無法通過主機 1 的隧道 ping ASA2 上的內部介面 (192.168.2.1)。我不確定從哪裡開始?我想通過 VPN 訪問所有管理功能,因此我在 ASA2 上輸入了以下內容;

ssh 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

但我無法 ping、通過 SSH 連接或通過 ASDM 從 host1 連接到 ASA2。ASA2 已配置management-access inside為從其本地電腦進行管理。

我不認為這裡有任何不正確的NAT配置,子網之間應該沒有NAT;

ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24

ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24

我可以檢查或更改什麼?

更新 好的我已經在每個 ASA 上執行數據包擷取並從 ASA1 ping 到 ASA2 反之亦然。出於某種原因,來自 ASA 的 ping 本身並未通過隧道發送。

ASA1# show capture testc access-list capture

1428 packets captured

155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 
161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 

在 ASA2 上觀察到相同的結果。因此,即使該內部子網上的主機正在使用 VPN,它自身的 ASA 內部介面也不是。你認為它是上面的 NAT 規則,他們應該在最後有“路由查找”嗎?

是的,我發現,我現在已經能夠測試了;我需要 NAT 語句末尾的“route-lookup”關鍵字。謝謝大家。

您是否嘗試允許從該子網的外部介面訪問 ssh 和 http?

ssh 192.168.1.0 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 outside

如果您檢查 ASDM 監控部分中的日誌記錄,您應該會看到您的管理流量被停止的原因。

引用自:https://serverfault.com/questions/415028