我有一个现有的设置,其中 5515-X 用作我的防火墙和 VPN,它运行良好。由于移动到了新位置,因此有了新的外部接口 IP,我可以成功连接到 VPN,但 VPN 客户端看不到任何内容(即无法访问网络内部的任何内容)。我怀疑 UDP 500 可能被阻止,但 ISP 坚持说没有。(ISP 正在管理 Cisco 3900 以引入互联网。)3900 和 ASA 之间没有任何设备。我应该能够更改外部接口的地址,它应该是即插即用的。
知道为什么设置不起作用吗?
编辑:我现在可以通过 Telnet 访问 ASA 的内部接口,并且可以连接到它,但我看不到网络上的任何其他内容。VPN 为我分配了一个 IP 地址,我保持连接状态。VPN 配置有些问题,即使它没有任何变化(外部 IP 地址除外)。
答案1
您需要为 Cisco ASA 提供 UDP 500 和 4500。
如果您有 ASDM 访问权限,则可以在尝试 VPN 时检查连接日志。但这是 ISP 应该参与的故障排除案例。还请确保您连接的网络允许 VPN 连接。
- 从不同位置尝试。
- 与 ISP 支持人员更紧密地合作并让他们贡献他们的日志。
- 验证您的 ASA 设置和 NAT 规则在移动后是否仍然适用。
答案2
找到解决方案:
由于某种原因,我们发现没有为 VPN ACL 配置 NAT 规则。我在配置中添加了以下内容:
nat (inside,outside) 1 source static SPLIT-ACL-VPN SPLIT-ACL-VPN destination static
NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup
我们现在可以按预期访问网络资源。