我已经审查了与我的问题非常相似的问题,但我的情况似乎有所不同。
ASA 版本 9.7(1)4
我有一个从 AWS 中的远程网络到客户端远程网络的 VPN 站点到站点 ikev1 连接。我用 ASA 5508 绑定两端(客户不想直接使用 VPN 连接 AWS)。VPN 运行正常,但现在客户要求我更改为 ikev2 并将 AWS 网络 NAT 到给定子网。
所以我有:
将 ikev1 更改为 ikev2 配置
使用给定的 NAT 范围创建网络对象(自定义 NAT)
创建了 NAT 规则
nat (外部,外部) 源动态 AWS_network 自定义 NAT 目标静态客户客户
修改了此 cryptomap 访问列表 outside_cryptomap 的 ACL,扩展了允许 ip 对象自定义 NAT 对象客户
应用更改。隧道已建成第 1 阶段和第 2 阶段,但没有任何交通。
来自日志:
“建立入站 TCP 连接”后跟“拆除 TCP 连接 SYN 超时”我可以从这些日志中看到源 IP 是原始 IP(尚未经过 NAT)系统日志 ID 为 302014,来自文档:30 秒后强制终止,等待三次握手完成。“
因此,我知道我无法打开 TCP 套接字,因为 NAT 尚未发生。
我错过了什么?
任何帮助都将不胜感激,
埃琳娜
答案1
经过一番努力后,我将该 NAT 对象从范围更改为子网,并且成功了。