ASA1 是 8.4(2) @ 192.168.1.1,其后是 host1 @ 192.168.1.10
ASA2 是 8.4(3) @ 192.168.2.1,其后是 host2 @ 192.168.2.10
从 host1 到 host2 的 ping 操作成功,但我无法通过来自 host1 的隧道 ping ASA2 上的内部接口 (192.168.2.1)。我不确定从哪里开始?我想通过 VPN 访问所有管理功能,因此我在 ASA2 上输入了以下内容;
ssh 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
但我无法从 host1 ping、通过 SSH 连接或通过 ASDM 连接到 ASA2。ASA2 已配置为management-access inside
可从其本地机器进行管理。
我认为这里没有任何错误的NAT配置,子网之间不应该存在NAT;
ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24
ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24
我可以检查或更改什么?
更新 好的,我已在每个 ASA 上运行数据包捕获,并从 ASA1 ping 到 ASA2,反之亦然。出于某种原因,来自 ASA 本身的 ping 未通过隧道发送。
ASA1# show capture testc access-list capture
1428 packets captured
155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request
159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit
161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request
163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit
在 ASA2 上观察到了相同的结果。因此,即使该内部子网上的主机正在使用 VPN,ASA 的内部接口本身也不会使用 VPN。您认为这是上面的 NAT 规则吗?它们应该在末尾有“路由查找”吗?
答案1
您是否尝试过允许从该子网的外部接口访问 ssh 和 http?
ssh 192.168.1.0 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 outside
如果您检查 ASDM 监控部分中的日志,您应该明白为什么您的管理流量被停止。
答案2
是的,正如我所发现的,我现在可以测试了;我需要在 NAT 语句末尾添加“route-lookup”关键字。谢谢大家。