VPN 建立後無法 ping 網關

我有兩台伺服器：

1. 帶有 ip xxxx 和本地網路 aaaa/24 的 Checkpoint Safe@Office 500
2. 帶有 ip yyyy 和本地網路 bbbb/28 的 Cisco ASA5505

在設置 vpn 之前，我可以從 aaaa/24 上的任何機器上 ping yyyy。

我的問題是，在有問題的 2 台伺服器之間設置 vpn 後，我不再能夠從 aaaa/24 ping yyyy。有誰知道這可能是為什麼？

我的猜測是對 yyyy 的 ping 不必要地通過 vpn 隧道進行路由，但我不確定如何防止這種情況發生。此外，如果它正在通過 vpn，那麼為什麼 vpn 不允許它.. 這方面的線索可能在 asa5505 日誌中，其中狀態：

Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside

我的問題再次是我無法解釋這個錯誤。

如果這是一個區域網路到區域網路的 vpn，其拓撲如下所示：

                      <------VPN------> 
a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28
              x.x.x.x                y.y.y.y

當 VPN 啟動時，您無法 ping ASA，因為 Check Point 防火牆將自身包含在本地加密域中，而 ASA 沒有。

最簡單的解決方案是將 ASA 的外部地址添加到其本地加密域中，因此 ASA 上的加密 acl 應該類似於以下內容：

access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0
access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0

引用自：https://serverfault.com/questions/311735