我们的一个分支机构有一个运行 IOS 15.1 的 Cisco 1921 路由器,该路由器通过 L2L IPsec VPN 连接到总部运行 ASA 8.2 的 ASA5510。
该网络看起来像这样:
192.168.14.0/24 - RT - 互联网 - ASA - 192.168.10.0/24
|----L2L VPN----|
RT 配置了 NAT,以便本地用户能够访问互联网。配置如下:
加密 isakmp 策略 10 增生 认证预共享 第 2 组 加密 isakmp 密钥 SECRETKEY 地址 HQ_ASA_IP ! ! 加密 ipsec 变换集 ESP-AES-SHA esp-aes esp-sha-hmac ! 加密映射 outside_map 10 ipsec-isakmp 设置对等 HQ_ASA_IP 设置变换集 ESP-AES-SHA 匹配地址 120 ! 接口 GigabitEthernet0/0 IP地址 192.168.14.252 255.255.255.0 ip nat 内部 ip 虚拟重组 自动双面打印 自动速度 没有启用 mop ! 接口拨号器0 mtu 1492 已协商 IP 地址 ip 访问组 101 ip nat 外部 ip 虚拟重组 封装ppp ip tcp 调整-mss 1452 拨号器池 1 拨号组 1 ppp 认证 chapcallin ppp chap 主机名 SECRETUSERNAME ppp chap 密码 0 SECRETPASSWORD ppp pap 发送用户名 SECRETUSERNAME 密码 0 SECRETPASSWORD 加密地图 outside_map ! ip nat 内部源路由图 nonat 接口 Dialer0 过载 路由图 nonat 许可 10 匹配 ip 地址 110 ! 访问列表 110 拒绝 ip 192.168.8.0 0.0.7.255 192.168.8.0 0.0.7.255 访问列表 110 允许 ip 192.168.14.0 0.0.0.255 任意 访问列表 120 允许 ip 192.168.14.0 0.0.0.255 192.168.8.0 0.0.7.255 访问列表 120 允许 ip 192.168.8.0 0.0.7.255 192.168.14.0 0.0.0.255
现在我们有一项需要从 192.168.14.0/24 网络内的其中一台主机上的互联网访问的服务,并使用以下命令配置了端口转发:
ip nat 内部源静态 tcp 192.168.14.7 8181 EXT_IP 31337 可扩展
转发工作正常,可以通过 EXT_IP:1337 访问服务,但我们无法再从 192.168.10.0/24 网络通过 VPN 访问 192.168.14.7:8181,而在转发到位之前,这一切都运行正常。
如果您能告诉我我遗漏了什么或者为什么会出现这种情况,我将非常感激。
答案1
以下是对您所面临的问题的详细描述: