ASA 5505 — VPN 隧道需要外部 IP 吗？

Question

如果您忘记了 NAT Exempt 语句，则可能会发生这种情况。考虑标准 L2L IPSEC VPN：

Router 1: (Pseudocode)
interface inside
    ip address 10.1.0.1/24
interface outside
    ip address 1.2.3.4/24

nat exempt 10.1.0.0/24 to 10.2.0.0/24
pnat 10.1.0.0/24 to 1.2.3.4
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.5 with PSK abcdef

Router 2:
interface inside
    ip address 10.2.0.1/24
interface outside
    ip address 1.2.3.5/24

nat exempt 10.2.0.0/24 to 10.1.0.0/24
pnat 10.2.0.0/24 to 1.2.3.5
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.4 with PSK abcdef

如果不包括 nat 豁免语句，则流量将在评估 IPsec 之前进行 natted，并将根据保护 acls 进行评估from 1.2.3.4 to 10.2.0.100，因此不会匹配。

Answer 1

如果您忘记了 NAT Exempt 语句，则可能会发生这种情况。考虑标准 L2L IPSEC VPN：

Router 1: (Pseudocode)
interface inside
    ip address 10.1.0.1/24
interface outside
    ip address 1.2.3.4/24

nat exempt 10.1.0.0/24 to 10.2.0.0/24
pnat 10.1.0.0/24 to 1.2.3.4
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.5 with PSK abcdef

Router 2:
interface inside
    ip address 10.2.0.1/24
interface outside
    ip address 1.2.3.5/24

nat exempt 10.2.0.0/24 to 10.1.0.0/24
pnat 10.2.0.0/24 to 1.2.3.5
ipsec protect 10.1.0.0/24 to/from 10.2.0.0/24 via 1.2.3.4 with PSK abcdef

如果不包括 nat 豁免语句，则流量将在评估 IPsec 之前进行 natted，并将根据保护 acls 进行评估from 1.2.3.4 to 10.2.0.100，因此不会匹配。

ASA 5505 — VPN 隧道需要外部 IP 吗？

答案1

相关内容