Ipsec

Cisco ASA 5510 <-> Sonicwall Pro 2040 - IPSec 工作一半

  • December 14, 2010

好的…我遇到了一個非常奇怪的 IPSec 問題(至少對我來說很奇怪 :-))。我有一個連接到 ASA 5510 的 Sonicwall Pro 2040。當流量從網路的 Sonicwall 端啟動時,它工作正常……但如果它來自 ASA 端,則沒有骰子。例如,來自 sonicwall 上的 PC-A 的 icmp 回波被 ASA 上的 PC-B 接收。PC-B 以 icmp 回復作為響應,PC-A 收到它。如果 PC-B 向 PC-A 發送回應要求,它甚至不會遍歷 IPSec 隧道(通過線路上沒有生成 ESP 流量來驗證)。PC-B 上的wireshark 在icmp echo 請求上顯示與icmp echo 回复完全相同的源IP 和MAC……關於什麼可能導致這種行為的任何想法?:(

附加說明:如果我清除 ASA 上的 isakmp 並嘗試從 PC-B ping 到 PC-A,它不會嘗試啟動隧道……它似乎沒有意識到此流量的目的地是sonicwall 網路,即使當我發回回复時它也能正常工作。

另一個注意事項:我在 ASA 上使用與 IPsec 隧道相同的 ACL 執行數據包擷取,並且它與來自 PC-B 的 icmp 請求數據包相匹配……所以出於某種原因,它只是不嘗試通過隧道發送它們,即使它匹配。

啊哈…顯然是因為我在內部介面上髮夾(在將其發送到遠端站點之前進行測試)並且預設路由在外部介面之外,我需要在那裡放置一個靜態路由以將 VPN 流量路由回去到內部介面,然後它將通過隧道發送。我在使用數據包跟踪器時注意到了這一點,它提到了流…我猜 VPN 連接入站創建的流可以優先於靜態路由…很高興知道 :-)

引用自:https://serverfault.com/questions/211424