我使用 Cisco ASA 5510。
我已启用与两个不同内部网络的 RADIUS 身份验证的远程 VPN 连接:
- 10.1.0.0/16
- 10.10.0.0/16 来自移动 VPN 池 192.168.111.0/24。
即使我以完全相同的方式设置两者,设置在 10.1.0.0/16 上也能完美运行,但在 10.10.0.0/16 (vpn) 上却完全失败。
我启用了调试 icmp 跟踪:
- 当我从 VPN 192.168.111.1 ping 到 10.1.2.2 时,我看到 ping 和答复通过网关。
- 当我从 192.168.111.1 ping 10.10.2.2 时,ping 甚至没有显示在跟踪中。它在网关之前丢失,但远程客户端上的路由存在,并且由 cisco vpn 软件正确配置。
这让我抓狂。任何指导都值得感激。
我的配置可以从以下位置读取:
- 这里(我只隐藏了公共 IP 和密码。)
答案1
我们从遇到过完全相同问题的人那里找到了解决此问题的方法:
现在,我可以连接,身份验证可以工作,分割隧道可以工作,但我无法访问内部 LAN。我看到数据包进入但无法出去。我找了好一会儿,还是搞不清楚如何允许数据包回到隧道上。
报告的解决方案是:
no ip local pool Local_IPs 192.168.1.200-192.168.1.220 mask 255.255.255.0
no access-list inside_nat0_outbound extended permit ip any 192.168.1.0 255.255.255.0
ip local pool Local_IPs 192.168.2.1-192.168.2.15 mask 255.255.255.240
access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.240
nat (inside) 0 access-list inside_nat0_outbound
摘自: