我在以下链接中有网络拓扑,请参考: http://www.gigapac.com/wp-content/uploads/2012/03/topology.png
- 两个 Cisco 路由器之间正在运行站点到站点的 IPSec VPN。
- ASA 防火墙有两个接口 e0/0(外部)和 e0/1(内部),当前配置为 LAN 内 PC 的默认网关。
- 我还在 ASA 中添加了一条路由,该路由通过 192.168.139.253(内部)接口路由 192.168.51.0/24。
- IP 地址为 192.168.139.21 的 PC 无法与 192.168.51.21 建立 RDP 连接。但是,当我在 PC 中设置静态路由并通过 192.168.139.253 路由 192.168.51.0/24 时,RDP 会话就可以正常工作。
我还启用了以下命令:
相同安全流量允许接口内
但还是没运气。我是否需要执行“无 nat-control”或进行一些静态翻译?
答案1
ASA 仅看到一半的流量。
来自 192.168.139.21 上的 PC 的 SYN 数据包将被发送到 ASA,ASA 将跟踪该数据包,然后将其转发到 192.168.139.253 上的路由。此路由器将把 SYN 发送到 192.168.51.1 上的路由器,然后发送到 192.168.51.21 上的机器。
SYN+ACK 数据包将发送回 192.168.51.1 上的路由器,通过 IPSec 隧道发送至 192.168.139.253 上的路由器,然后不经过 ASA 发送至 PC。当客户端发送 ACK 数据包时,ASA 将丢弃该数据包,因为它没有看到 192.168.51.21 上的机器发送的 SYN+ACK。
要解决此问题,ASA 需要查看两个方向的流量。有很多解决方案 - 其中之一可能是将 192.168.139.253 路由器的 Fa0 移至 ASA 的外部接口。