我们在站点到站点 VPN 设置中有两个 ASA 5510,一个在 8.4(4) 中,一个在 8.2(5) 中。所有内部流量都运行顺畅。
站点/子网 A:192.100.0.0 - 本地 (8.4(4)) 站点/子网 B:192.200.0.0 - 远程 (8.2(5)) VPN 用户:192.100.40.0 - 由 ASA 分配
当您通过 VPN 进入网络时,所有流量都会到达站点 A,并且子网 A 上的所有内容都可以访问。
但是,VPN 用户完全无法访问站点 B。子网 B 上的所有机器、防火墙本身等……无法通过 ping 或其他方式访问。
我降级到 8.2,然后在站点 A ASA 上恢复到 8.4。站点 B 现在正在运行 8.2(5)。
提前非常感谢你,我希望我已经足够彻底了。
您可能缺少 NAT,但首先确保您已将此行添加到您的配置中,same-security-traffic permit intra-interface。
Cisco 的命令参考在这里是ver8.4 Command Ref。它将允许“hairpinning”,默认情况下是禁用的。在 ASDM 中,它位于配置 -> 设备设置 -> 接口下。在页面的底部。
在创建 NAT 之前,您应该创建要在 NAT 中引用的对象:
对象网络 obj-192.100.0.0 子网 192.100.0.0 255.255.255.0 描述子网 A
对象网络 obj-192.200.0.0 subnet 192.200.0.0 255.255.255.0 description 子网 B
对象网络 obj-192.100.40.0 子网 192.100.40.0 255.255.255.0 描述远程访问 VPN 用户
从远程访问子网到子网 B 的 NAT 将是:
nat(外部,外部)源静态 obj-192.100.40.0 obj-192.100.40.0 目标静态 192.200.0.0 192.200.0.0
结果证明它是 NAT 规则和站点到站点 ACL 的组合。出于某种原因,由于 8.2 - 8.4 升级导致配置冲突,ACL 设置没有保留。这对我来说解释起来很复杂,但在与 Cisco 通话 1.5 小时后,他们在 8.4(4) 中重建了站点到站点隧道并正确设置了 ACL。如果您再次遇到此问题并且您刚刚从 8.2 更新到 8.4,解决方案似乎是从头开始重建站点到站点。感谢大家的帮助!