我有两台服务器:
- Checkpoint Safe@Office 500 的 IP 地址为 xxxx,本地网络为 aaaa/24
- Cisco ASA5505 具有 ip yyyy 和本地网络 bbbb/28
在设置 vpn 之前,我能够从 aaaa/24 上的任何机器 ping yyyy。
我的问题是,在相关 2 台服务器之间设置 vpn 后,我无法再从 aaaa/24 ping yyyy。有人知道这是为什么吗?
我猜想对 yyyy 的 ping 操作不必要地通过了 VPN 隧道,但我不确定如何防止这种情况发生。此外,如果它通过 VPN,那么为什么 VPN 不允许它呢?. 对此的线索可能在 asa5505 日志中,其中指出:
Group = x.x.x.x, IP = x.x.x.x, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy a.a.a.a/255.255.255.0/0/0 local proxy y.y.y.y/255.255.255.255/0/0 on interface Outside
我再次遇到的问题是我无法解释这个错误。
答案1
如果这是一个具有如下拓扑结构的 LAN 到 LAN VPN:
<------VPN------>
a.a.a.a/24---[Checkpoint]---Internet---[ASA]---b.b.b.b/28
x.x.x.x y.y.y.y
VPN 启动时您无法 ping ASA,因为 Check Point 防火墙将其自身包含在本地加密域中,而 ASA 则不包含。
最简单的解决方案是将 ASA 的外部地址添加到其本地加密域,因此 ASA 上的加密 acl 应该是这样的:
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y host x.x.x.x
access-list asa-checkpoint-vpn_acl permit ip host y.y.y.y a.a.a.a 255.255.255.0
access-list asa-checkpoint-vpn_acl permit ip host b.b.b.b 255.255.255.240 a.a.a.a 255.255.255.0
答案2
对于客户端 VPN,默认情况下会指示 VPN 客户端通过 VPN 发送所有流量,即网络上未直接连接的所有内容。您的路由表将被忽略。如果您不希望在连接时所有流量都通过 VPN 隧道发送,则需要在 ASA 上启用拆分隧道。