Vpn

VPN 建立後無法 ping 網關

  • September 16, 2011

我有兩台伺服器:

  1. 帶有 ip xxxx 和本地網路 aaaa/24 的 Checkpoint Safe@Office 500
  2. 帶有 ip yyyy 和本地網路 bbbb/28 的 Cisco ASA5505

在設置 vpn 之前,我可以從 aaaa/24 上的任何機器上 ping yyyy。

我的問題是,在有問題的 2 台伺服器之間設置 vpn 後,我不再能夠從 aaaa/24 ping yyyy。有誰知道這可能是為什麼?

我的猜測是對 yyyy 的 ping 不必要地通過 vpn 隧道進行路由,但我不確定如何防止這種情況發生。此外,如果它正在通過 vpn,那麼為什麼 vpn 不允許它.. 這方面的線索可能在 asa5505 日誌中,其中狀態:

Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside

我的問題再次是我無法解釋這個錯誤。

如果這是一個區域網路到區域網路的 vpn,其拓撲如下所示:

                      <------VPN------> 
a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28
              x.x.x.x                y.y.y.y

當 VPN 啟動時,您無法 ping ASA,因為 Check Point 防火牆將自身包含在本地加密域中,而 ASA 沒有。

最簡單的解決方案是將 ASA 的外部地址添加到其本地加密域中,因此 ASA 上的加密 acl 應該類似於以下內容:

access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0
access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0

引用自:https://serverfault.com/questions/311735