Cisco IOS 路由器和 Azure VPN - 已建立隧道，但流量不流動

我正在嘗試通過 IPSec VPN 將 Cisco IOS 路由器連接到 Azure。我使用 Cisco ISR 模板建立了從路由器到 Azure 的隧道。在 Azure 控制面板中，我可以看到連接已建立。但是，雖然“數據輸出”似乎工作正常，但“數據輸入”顯示為零，並且我無法通過 SSH、RDP 或 nslookup 向或從本地網路到 Azure 的任一方向。

建立隧道後，我確定問題出在我的路由器上。我不是一個真正的網路人（小型企業的唯一 IT 人），所以任何幫助將不勝感激。

這是我的路由器的一些輸出：

murasaki#sh 加密會話
加密會話目前狀態

介面：Virtual-Access2
會話狀態：DOWN
對端：xxxx 埠 500
IPSEC 流：允許 ip 192.168.1.0/255.255.255.0 192.168.5.0/255.255.255.0
活動 SA：0，來源：加密地圖

介面：撥號器1
會話狀態：UP-ACTIVE
對端：xxxx 埠 500
IKE SA：本地 xxxx/500 遠端 xxxx/500 活動
IPSEC 流：允許 ip 192.168.1.0/255.255.255.0 192.168.5.0/255.255.255.0
活動 SA：2，來源：加密地圖

murasaki #sho crypto isakmp sa
IPv4 加密 ISAKMP SA
dst src 狀態 conn-id 狀態
xxxx xxxx QM_IDLE 2002 活動

IPv6 加密 ISAKMP SA

這是刪除/清除敏感位的路由器配置：

!
15.0 版
沒有服務墊
服務時間戳調試日期時間毫秒
服務時間戳記錄日期時間毫秒
!
主機名 murasaki
!
引導開始標記
引導結束標記
!
!
aaa 新型號
!
!
aaa 認證 ppp 預設本地
aaa 授權網路 預設本地
!
!
!
!
!
aaa session-id 通用
記憶體大小 iomem 10
!
加密 pki 信任點 TP-self-signed-4045734018
報名自簽
主題名稱 cn=IOS-Self-Signed-Certificate-4045734018
撤銷檢查無
rsakeypair TP-self-signed-4045734018
ip 源路由
!
!
ip 頭孢
ip 檢查名稱 normal_traffic tcp
ip 檢查名稱 normal_traffic udp
ipv6 單播路由
ipv6 頭等艙
!
!
!
對象組網路 INTERNAL_LAN
描述 應該允許到 Internet 的所有內部子網
192.168.1.0 255.255.255.0
192.168.20.0 255.255.255.0
10.10.10.0 255.255.255.0
192.168.40.0 255.255.255.0
192.168.6.0 255.255.255.0
!
!
!
ip ssh 超時 60
ip ssh 版本 2
!
!
加密 isakmp 策略 10
增加AES 256
認證預共享
第 2 組
壽命28800
加密 isakmp 密鑰地址
!
!
加密 ipsec 轉換集 AzureIPSec esp-aes 256 esp-sha-hmac
!
加密地圖 AzureCryptoMap 10 ipsec-isakmp
設置對等
設置安全關聯生命週期千字節 102400000
設置轉換集 AzureIPSec
匹配地址 AzureCloudVMs
!
橋IRB
!
!
!
!
介面 BRI0
沒有IP地址
封裝 hdlc
關閉
isdn 終止多點
!
介面 ATM0
男人1492
沒有IP地址
沒有自動取款機 ilmi-keepalive
聚氯乙烯 8/35
封裝 aal5mux ppp 撥號器
撥號池成員 1
!
!
介面 Vlan1
描述 主區域網路
ip地址192.168.1.97 255.255.255.0
ip nat 裡面
ip 虛擬重組
!
介面 Vlan5
說明 Azure VLAN
ip地址192.168.5.97 255.255.255.128
!
介面撥號器1
男人1492
協商的ip地址
ip 訪問組 PORTS_ALLOWED_IN 在
ip 流量入口
ip nat 外面
ip 檢查 normal_traffic out
ip 虛擬重組
封裝ppp
ip tcp 調整-mss 1350
撥號池 1
撥號器組 1
ipv6 地址自動配置
啟用 IPv6
ppp ipcp 路由預設
沒有啟用 cdp
加密地圖 AzureCryptoMap
!
沒有 ip 轉發協議 nd
沒有ip http伺服器
沒有 ip http 安全伺服器
!
ip nat 翻譯超時 360
ip nat inside source list SUBNETS_AND_PROTOCOLS_ALLOWED_OUT interface Dialer1 過載
ip nat inside source static tcp 192.168.xx 55663 interface Dialer1 55663
ip nat inside source static tcp 192.168.xx 22 interface Dialer1 22
ip nat inside source static udp 192.168.xx 55663 interface Dialer1 55663
!
ip 訪問列表擴展 AzureCloudVMs
允許ip 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255
ip 訪問列表擴展 GUEST_VLAN
允許 tcp any any eq 22
允許 tcp any any eq www
允許 tcp any any eq 443
允許 tcp 任何任何 eq 域
允許 udp 任何任何 eq 域
允許 icmp 任何 任何
ip 訪問列表擴展 PORTS_ALLOWED_IN

備註 允許輸入的埠列表

允許 gre 任何 任何
允許特別是任何任何
允許 udp 任何任何 eq non500-isakmp
允許 udp 任何任何 eq isakmp
允許 tcp any any eq 55663
允許 udp 任何任何 eq 55663
允許 tcp any any eq 22
允許 tcp any any eq 222
允許 tcp any any eq 1723
允許 tcp any any eq 443
允許 icmp 任何任何 echo-r​​eply
允許 icmp 任何任何 traceroute
允許 icmp 任何任何無法訪問的埠
允許 icmp 任何任何時間超過
拒絕任何 IP
ip 訪問列表擴展 SUBNETS_AND_PROTOCOLS_ALLOWED_OUT
拒絕 tcp 對象組 INTERNAL_LAN 任何 eq smtp
允許 tcp 對象組 INTERNAL_LAN 任何
允許 udp 對象組 INTERNAL_LAN 任何
允許 icmp 對象組 INTERNAL_LAN 任何
拒絕任何 IP
!
沒有 cdp 執行

ipv6 路由 ::/0 Dialer1
!

原來我只需要從 Cisco 路由器中刪除 VLAN 5 和 IP 地址！

引用自：https://serverfault.com/questions/511535