我已经设置了站点到站点 VPN,配置似乎没问题,因为其他站点可以正常建立隧道。我遇到的问题是,我这边从未尝试建立隧道。
Ping/telnet 导致超时,并且查看日志从未尝试过 phase1。我让它尝试启动的唯一方法是将我的外部网络(以及内部网络)添加到 vpn 配置中的本地网络。
有人知道我的配置可能出了什么错误或者我该如何进一步调试吗?
答案1
如果您忘记了 NAT Exempt 语句,则可能会发生这种情况。考虑标准 L2L IPSEC VPN:
Router 1: (Pseudocode)
interface inside
ip address 10.1.0.1/24
interface outside
ip address 1.2.3.4/24
nat exempt 10.1.0.0/24 to 10.2.0.0/24
pnat 10.1.0.0/24 to 1.2.3.4
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.5 with PSK abcdef
Router 2:
interface inside
ip address 10.2.0.1/24
interface outside
ip address 1.2.3.5/24
nat exempt 10.2.0.0/24 to 10.1.0.0/24
pnat 10.2.0.0/24 to 1.2.3.5
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.4 with PSK abcdef
如果不包括 nat 豁免语句,则流量将在评估 IPsec 之前进行 natted,并将根据保护 acls 进行评估from 1.2.3.4 to 10.2.0.100,因此不会匹配。