本站已运行 14年356天23小时38分14秒

攻城狮论坛

作者: awornwei
查看: 1609|回复: 12

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

[安全] Cisco ASA 5520在Inside端口配置VPN 无效

[复制链接]
查看: 1609|回复: 12
开通VIP 免金币+免回帖+批量下载+无广告
最近遇到一个VPN的配置问题,拓扑请见附件。
0 G5 t4 s* S/ z3 K7 P$ N+ V# p9 L- R/ h6 i: V% X. p
因为Outside的ip是私有的,而inside的ip是公网的,所以VPN必须配置在Inside端口上。而vpn的登录方向是Internet-Outside-Inside。配置好后vpn无法登录。配置本身没什么问题,因为之前在别的地方配置在ouside端口或者其他端口上,都是可以的。就是这次配置在inside上就不好用了,不知道大家遇到过没有,帮忙给分析一下,是不是asa不支持这种vpn在inside模式呀,因为我从公网ping inside的ip是不通的。
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

举报

jnnc [Lv4 初露锋芒] 发表于 2013-7-31 04:32:26 | 显示全部楼层
防火墙不同于路由器,接口、区域和功能模块之间的嵌套关系较多,若ASA原来配置正确,只是变更一些较为明显的数据,其结果往往是无法实现需求功能。
  ?! A1 x$ M# Z& ~9 {* c接口UP也不代表能ping通,接口、区域、ACL等是否都匹配?当链路没有问题的前题下,ASA公网IP的直连地址都ping不通,那就是配置接口、区域等嵌套关系没有对应好。如果可以ping通直连,那么就看看路由和ACL。# S; }! Q7 R. ^# _0 K
另外,你拓扑图标注也挺不好让我理解,VPN client 来自internet却又是私网地址?它难道是某运营商的VPN用户?
回复 支持 反对

举报

lain [Lv4 初露锋芒] 发表于 2013-7-31 04:42:13 | 显示全部楼层
多谢,这个拓扑其实是我们的服务器需要公网IP,整个服务器集群下挂在一个运营商的IDC机房,与IDC机房的连接使用的是私有地址。所以才会发生这种问题,如果与IDC机房连接使用的是公网地址,那么直接将VPN终结在那个Outside端口上,应该没什么问题的。
- I( {- Q+ y9 g( V8 A
0 T4 ?; l# T/ c8 l- l  O通过这几天的测试发现,ASA每个端口下挂的设备只能ping通它自己上联的ASA端口的IP,对于其他ASA端口的IP都是无法ping通的,且不论端口的安全级别是高还是低。怀疑VPN不通的问题是由这个引起的。不知道这个是ASA的固有特性还是由于少配置命令造成。. B% x. c& R  h3 y( A+ V
- h+ f3 h2 ?* J- t
整个系统的网络联通没什么问题,各个ASA端口下面的服务器都可以相互通信。只是ASA每个端口下挂的设备只能ping通它自己上联的ASA端口的IP,对于其他ASA端口的IP都是无法ping通的。
回复 支持 反对

举报

萧三少 [Lv4 初露锋芒] 发表于 2013-7-31 04:58:23 | 显示全部楼层
http://www.cisco.com/en/US/docs/secu...html#wp16976231 d& Q, B- t4 ^1 \4 }8 H; a) q
The adaptive security appliance only responds to ICMP traffic sent to the interface that traffic comes in on; you cannot send ICMP traffic through an interface to a far interface.
回复 支持 反对

举报

Jianding [Lv4 初露锋芒] 发表于 2013-7-31 07:09:54 | 显示全部楼层
inside 配置VPN,还真没想这样干过!: B, W0 S( q, O+ X( b; f& |
不行,都不想去知道为什么,可能是系统默认对应设置的关系。( h2 @& {' u1 q. U/ {" \
把inside 这个名称改一下应该就可以了。
回复 支持 反对

举报

违法者 [Lv8 技术精悍] 发表于 2013-10-17 20:32:12 | 显示全部楼层
找到好贴不容易,我顶你了,谢了
回复 支持 反对

举报

dadahaoren [VIP@钻石] 发表于 2013-10-18 19:20:13 | 显示全部楼层
学习了,谢谢分享、、、
回复 支持 反对

举报

ynfield [Lv8 技术精悍] 发表于 2013-10-19 16:46:08 | 显示全部楼层
帮你顶下哈!!
回复 支持 反对

举报

legned [VIP@钻石] 发表于 2013-12-5 22:28:13 | 显示全部楼层
不错不错,楼主您辛苦了。。。
回复 支持 反对

举报

*浚浚* [Lv8 技术精悍] 发表于 2013-12-6 22:10:35 | 显示全部楼层
学习了,不错,讲的太有道理了
回复 支持 反对

举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2025-7-7 23:34 , Processed in 0.120591 second(s), 14 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn