ASA 5505 — VPN 隧道需要外部 IP 吗?

ASA 5505 — VPN 隧道需要外部 IP 吗?

我已经设置了站点到站点 VPN,配置似乎没问题,因为其他站点可以正常建立隧道。我遇到的问题是,我这边从未尝试建立隧道。

Ping/telnet 导致超时,并且查看日志从未尝试过 phase1。我让它尝试启动的唯一方法是将我的外部网络(以及内部网络)添加到 vpn 配置中的本地网络。

有人知道我的配置可能出了什么错误或者我该如何进一步调试吗?

答案1

如果您忘记了 NAT Exempt 语句,则可能会发生这种情况。考虑标准 L2L IPSEC VPN:

Router 1: (Pseudocode)
interface inside
    ip address 10.1.0.1/24
interface outside
    ip address 1.2.3.4/24

nat exempt 10.1.0.0/24 to 10.2.0.0/24
pnat 10.1.0.0/24 to 1.2.3.4
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.5 with PSK abcdef

Router 2:
interface inside
    ip address 10.2.0.1/24
interface outside
    ip address 1.2.3.5/24

nat exempt 10.2.0.0/24 to 10.1.0.0/24
pnat 10.2.0.0/24 to 1.2.3.5
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.4 with PSK abcdef

如果不包括 nat 豁免语句,则流量将在评估 IPsec 之前进行 natted,并将根据保护 acls 进行评估from 1.2.3.4 to 10.2.0.100,因此不会匹配。

相关内容