ASA NAT问题请教!!!
http://file///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/enhtmlclip/Image(16).png http://bbs.hh010.com/data/attachment/forum/201307/19/112053s7lsxiiib2qlp76d.jpg
拓扑如上图
通过ASA5505建立IPSec VPN,建立成功了
1.可以远程拨入VPN,获取VPN Pool的地址192.168.3.10/24
2.防火墙后面的Server IP从DHCP获取 192.168.3.100/24
3.现在为了让Server可以上网,在ASA做了NAT:192.168.3.0/24映射到WAN口,可以正常上网。
show nat interface inside detail
Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic Server interface
translate_hits = 547, untranslate_hits = 256
Source - Origin: 192.168.3.0/24, Translated: 125.*.*.*/32
问题是:做NAT之前,VPN client 192.168.3.10可以ping Server 192.168.3.100
做完NAT之后,无法Ping通。。。。。。
防火墙日志显示:Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:192.168.3.12 dst inside:192.168.3.101 denied due to NAT reverse path failure
需要让内网Server可以上网,然后VPN拨入后可以互ping
请高手指点,谢谢!!!!!!!!!!!!!!!!!!!!!!
{:6_290:} 要做NAT 的bypass,你做NAT后,原本到VPN Client的流量被NAT map成端口的地址了,你可以做个tracert印证下,所以要做NAT BYPASS掉从内部服务器到VPN pool的流量 sadxwb 发表于 2013-7-25 12:26 static/image/common/back.gif
要做NAT 的bypass,你做NAT后,原本到VPN Client的流量被NAT map成端口的地址了,你可以做个tracert印证下 ...
谢谢!!!!!!!!! {:6_267:}{:6_267:}{:6_267:}{:6_267:}
页:
[1]