Vpn
VPN 建立後無法 ping 網關
我有兩台伺服器:
- 帶有 ip xxxx 和本地網路 aaaa/24 的 Checkpoint Safe@Office 500
- 帶有 ip yyyy 和本地網路 bbbb/28 的 Cisco ASA5505
在設置 vpn 之前,我可以從 aaaa/24 上的任何機器上 ping yyyy。
我的問題是,在有問題的 2 台伺服器之間設置 vpn 後,我不再能夠從 aaaa/24 ping yyyy。有誰知道這可能是為什麼?
我的猜測是對 yyyy 的 ping 不必要地通過 vpn 隧道進行路由,但我不確定如何防止這種情況發生。此外,如果它正在通過 vpn,那麼為什麼 vpn 不允許它.. 這方面的線索可能在 asa5505 日誌中,其中狀態:
Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside
我的問題再次是我無法解釋這個錯誤。
如果這是一個區域網路到區域網路的 vpn,其拓撲如下所示:
<------VPN------> a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28 x.x.x.x y.y.y.y
當 VPN 啟動時,您無法 ping ASA,因為 Check Point 防火牆將自身包含在本地加密域中,而 ASA 沒有。
最簡單的解決方案是將 ASA 的外部地址添加到其本地加密域中,因此 ASA 上的加密 acl 應該類似於以下內容:
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0 access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0