Vpn

外部 VPN 流量無法 ping 站點到站點 VPN 遠端站點

  • July 17, 2012

我們有兩個 ASA 5510,一個在 8.4(4) 中,一個在 8.2(5) 中,用於站點到站點 VPN 設置。所有內部流量都執行順暢。

站點/子網 A:192.100.0.0 - 本地 (8.4(4)) 站點/子網 B:192.200.0.0 - 遠端 (8.2(5)) VPN 使用者:192.100.40.0 - 由 ASA 分配

當您通過 VPN 進入網路時,所有流量都會到達站點 A,並且子網 A 上的所有內容都可以訪問。

然而,站點 B 對 VPN 使用者來說是完全無法訪問的。子網 B 上的所有機器、防火牆本身等…都無法通過 ping 或其他方式訪問。

我在站點 A ASA 上降級到 8.2,然後又回到 8.4。站點 B 現在執行 8.2(5)。

非常感謝您,我希望我已經足夠徹底。

事實證明它是 NAT 規則和站點到站點 ACL 的組合。由於某種原因,由於 8.2 - 8.4 升級導致配置衝突,ACL 設置沒有保持不變。我解釋起來很複雜,但在與 Cisco 通話 1.5 小時後,他們在 8.4(4) 中重建了站點到站點隧道,並且正確設置了 ACL。如果您再次遇到這種情況並且您剛剛從 8.2 更新到 8.4,則解決方案似乎是從頭開始重建站點到站點。感謝大家的幫助!

您可能缺少 NAT,但首先確保您已將此行添加到您的配置中,same-security-traffic permit intra-interface

思科的命令參考在這裡ver8.4 Command Ref。它將允許“髮夾”,預設情況下禁用。在 ASDM 中,它位於配置 -> 設備設置 -> 介面下。在頁面的底部。

在創建 NAT 之前,您應該創建要在 NAT 中引用的對象:

對象網路 obj-192.100.0.0 子網 192.100.0.0 255.255.255.0 描述子網 A

對象網路 obj-192.200.0.0 子網 192.200.0.0 255.255.255.0 描述子網 B

對象網路 obj-192.100.40.0 子網 192.100.40.0 255.255.255.0 描述 遠端訪問 VPN 使用者

從遠端訪問子網到子網 B 的 NAT 將是:

nat (outside,outside) 源靜態 obj-192.100.40.0 obj-192.100.40.0 目標靜態 192.200.0.0 192.200.0.0

引用自:https://serverfault.com/questions/406519