我正在使用 Cisco ASA 5505 建立站点到站点的 VPN 隧道。
问题是,我的 ASA 5505 似乎没有启动协商,但是一旦另一台设备开始协商,隧道就会成功建立!
是否存在这样的配置可以启动第一阶段协商?
有什么线索表明我遗漏了什么吗?
谢谢,
答案1
我会执行以下步骤:
- 在 L2L P2 启动之前,请继续 ping 一个有趣的流量主机。如果一切设置正确,这将启动隧道。如果您已经知道这一点,但有些人不知道,请原谅。
- 在 ASA 上,确保您已为相关流量设置了加密映射条目。可能发生了什么,这只是猜测,但也许您没有设置正确的加密映射,而是在对等端发起时使用动态加密映射进行建立。
- 使用 ASDM,您可以检查您的连接配置文件并检查 Crypto Map 下的设置,并确保它处于“双向”而不是“仅应答”状态
- 最后,确保问题不是出在你的同事身上。
答案2
您可以使用 ASDM 和 Packet tracer 从 Tools 菜单进行调试。
您是否有针对另一端 IP 的 NAT 豁免规则?