NAT-T不通???
本人做了个NAT-T配置,但是不通,不知道为什么请大家指教那里出问题了??
Client 1-------RouterVPN(61.1.1.1)--------Internet------------(f1/0,202.1.1.1)PAT------(172.16.1.1)ASA------Client 2
0、Client 1是10.1.1.0/24,Client 2是192.168.1.0/24;
1、RouterVPN是cisco路由器,配置了标准的IPSec VPN,Peer是202.1.1.1;(本打算VPN通了再把NAT做
进去,可是。。。。),
感兴趣流量是s:10.1.1.0,d:192.168.1.0;
默认路由指向Internet;
2、ASA没有配置NAT,只配了标准的IPSec VPN(本打算VPN通了再把NAT做进去,可是。。。。),
Peer是61.1.1.1;
感兴趣流量是s:192.168.1.0,d:10.1.1.0;
默认路由指向PAT;
3、PAT配置默认路由指向Internet,静态路由指向Client 2;
acess-list 1 permit 172.16.1.0 0.0.0.255
acess-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 int f1/0 overload
接口配置ip nat inside/outside
ip nat inside source static udp 172.16.1.1 500 int f1/0 500
ip nat inside source static udp 172.16.1.1 4500 int f1/0 4500
4、测试时,Client 1 ping Client2不通;然后两边VPN设备都clear isakmp sa后,尝试反过来ping。
发现从Client 2 ping Client 1通,PAT上有地址翻译;而此时Client 1 ping Client2也通,似乎Client 2 先
发起VPN连接,则另一端的Client 1才能反过来ping。
请问是什么问题??是我命令错吗??请大家指点,很紧急啊!!!!
对ASA来说,默认拒绝外网主动流量请求,Client 1 ping Client2也就自然不通,但由里面主动Client 2 ping Client 1通后,在一定的时间内,ASA会保持这个链接,Client 1再 ping Client2自然也就通。
你须在ASA的外网口的in方向启用ACL。 我已经在ASA的外网口开了ACL了:
access-list 101 per ip an an
access-list 101 per icmp an an
access-group 101 in int out
页:
[1]