我们在站点到站点 VPN 设置中安装了两台 ASA 5510,一台是 8.4(4),另一台是 8.2(5)。所有内部流量均运行顺畅。
站点/子网 A:192.100.0.0 - 本地 (8.4(4)) 站点/子网 B:192.200.0.0 - 远程 (8.2(5)) VPN 用户:192.100.40.0 - 由 ASA 分配
当您通过 VPN 进入网络时,所有流量都会到达站点 A,并且子网 A 上的所有内容均可访问。
但是,VPN 用户完全无法访问站点 B。子网 B 上的所有计算机、防火墙本身等都无法通过 ping 或其他方式访问。
我降级到 8.2,然后在站点 A ASA 上又升回 8.4。站点 B 现在运行的是 8.2(5)。
提前感谢您,希望我已经讲得足够透彻了。
答案1
你可能缺少 NAT,但首先确保你已经在配置中添加了这一行,相同安全流量允许接口内。
Cisco 的命令参考在这里ver8.4 命令参考。它将允许“发夹式连接”,默认情况下禁用该连接。在 ASDM 中,它位于配置 -> 设备设置 -> 接口下。在页面底部。
在创建 NAT 之前,您应该创建在 NAT 中引用的对象:
对象网络 obj-192.100.0.0 子网 192.100.0.0 255.255.255.0 描述子网 A
对象网络 obj-192.200.0.0 子网 192.200.0.0 255.255.255.0 描述子网 B
对象网络 obj-192.100.40.0 子网 192.100.40.0 255.255.255.0 描述远程访问 VPN 用户
从远程访问子网到子网 B 的 NAT 将是:
nat (外部,外部) 源静态 obj-192.100.40.0 obj-192.100.40.0 目标静态 192.200.0.0 192.200.0.0
答案2
事实证明,这是 NAT 规则和站点到站点 ACL 的组合。出于某种原因,由于 8.2 - 8.4 升级导致配置冲突,ACL 设置无法保留。我很难解释,但在与 Cisco 通话 1.5 小时后,他们在 8.4(4) 中重建了站点到站点隧道,并正确设置了 ACL。如果您再次遇到这种情况,并且您刚刚从 8.2 更新到 8.4,解决方案似乎是从头开始重建站点到站点。谢谢大家的帮助!