Cisco
通過 VPN ping Cisco ASA
ASA1 是 8.4(2) @ 192.168.1.1,後面是 host1 @ 192.168.1.10
ASA2 是 8.4(3) @ 192.168.2.1,後面是 host2 @ 192.168.2.10
從主機 1 ping 到主機 2 有效,但我無法通過主機 1 的隧道 ping ASA2 上的內部介面 (192.168.2.1)。我不確定從哪裡開始?我想通過 VPN 訪問所有管理功能,因此我在 ASA2 上輸入了以下內容;
ssh 192.168.1.0 255.255.255.0 inside http 192.168.1.0 255.255.255.0 inside
但我無法 ping、通過 SSH 連接或通過 ASDM 從 host1 連接到 ASA2。ASA2 已配置
management-access inside
為從其本地電腦進行管理。我不認為這裡有任何不正確的NAT配置,子網之間應該沒有NAT;
ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24 ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24
我可以檢查或更改什麼?
更新 好的我已經在每個 ASA 上執行數據包擷取並從 ASA1 ping 到 ASA2 反之亦然。出於某種原因,來自 ASA 的 ping 本身並未通過隧道發送。
ASA1# show capture testc access-list capture 1428 packets captured 155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit
在 ASA2 上觀察到相同的結果。因此,即使該內部子網上的主機正在使用 VPN,它自身的 ASA 內部介面也不是。你認為它是上面的 NAT 規則,他們應該在最後有“路由查找”嗎?
是的,我發現,我現在已經能夠測試了;我需要 NAT 語句末尾的“route-lookup”關鍵字。謝謝大家。
您是否嘗試允許從該子網的外部介面訪問 ssh 和 http?
ssh 192.168.1.0 255.255.255.0 outside http 192.168.1.0 255.255.255.0 outside
如果您檢查 ASDM 監控部分中的日誌記錄,您應該會看到您的管理流量被停止的原因。