设为首页收藏本站language→→ 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP求助答疑 VPN 问题求助。
12下一页
返回列表 发新帖
查看: 1690|回复: 16
收起左侧

[求助] VPN 问题求助。

[复制链接]
John.xie
发表于 2017-9-15 08:59:25 | 显示全部楼层 |阅读模式
10鸿鹄币
本帖最后由 John.xie 于 2017-9-15 09:12 编辑

各位大神, 我公司有两间办公室  A  和 B       A 与 B 之间  通过  IPSec VPN Site to Site 虚拟专网打通,  A 与 B之间子网是可以互通的,  现在有一个问题,  A 的 远程用户 通过 IPSec 拨号连入 A 的子网  不管我开不开NAT  都访问不了B 的子网,请问我需要怎么配置才可以访问B的子网  

拓扑

拓扑

最佳答案

zhurx

查看完整内容

A远程用户的网段是10.1.2.0, 你将这个网段的加入到 site-to-site 的感兴趣流的相关访问列表里了吗? 最好将 IPSec VPN Site to Site 相关配置粘出来,给大家看看。
回复

使用道具 举报

zhurx
发表于 2017-9-15 08:59:26 | 显示全部楼层
A远程用户的网段是10.1.2.0, 你将这个网段的加入到 site-to-site 的感兴趣流的相关访问列表里了吗?
最好将 IPSec VPN Site to Site 相关配置粘出来,给大家看看。

点评

John.xie
Policy 路由 全做过,都是不行。  详情 回复 发表于 2017-9-15 09:56
John.xie
Policy 路由 全做过,都是不行。  详情 回复 发表于 2017-9-15 09:56
沙发 2017-9-15 08:59:26 回复 收起回复
回复

使用道具 举报

xuduo2188
发表于 2017-9-15 09:50:31 | 显示全部楼层
你做路由了吗,你tracert一下

点评

John.xie
tracert 172.16.2.1 流量去到 172.16.0.1 就丢掉了,但是用 172.16.0.1 tracert 172.16.2.1 是OK的  详情 回复 发表于 2017-9-15 10:08
John.xie
tracert 172.16.2.1 流量去到 172.16.0.1 就丢掉了,但是用 172.16.0.1 tracert 172.16.2.1 是OK的  详情 回复 发表于 2017-9-15 10:08
John.xie
tracert 172.16.2.1 流量去到 172.16.0.1 就丢掉了,但是用 172.16.0.1 tracert 172.16.2.1 是OK的  详情 回复 发表于 2017-9-15 10:08
板凳 2017-9-15 09:50:31 回复 收起回复
回复

使用道具 举报

John.xie
 楼主| 发表于 2017-9-15 09:56:43 | 显示全部楼层
zhurx 发表于 2017-9-15 09:39
A远程用户的网段是10.1.2.0, 你将这个网段的加入到 site-to-site 的感兴趣流的相关访问列表里了吗?
最好 ...

Policy 路由 全做过,都是不行。
地板 2017-9-15 09:56:43 回复 收起回复
回复

使用道具 举报

John.xie
 楼主| 发表于 2017-9-15 09:56:46 | 显示全部楼层
zhurx 发表于 2017-9-15 09:39
A远程用户的网段是10.1.2.0, 你将这个网段的加入到 site-to-site 的感兴趣流的相关访问列表里了吗?
最好 ...

Policy 路由 全做过,都是不行。
5# 2017-9-15 09:56:46 回复 收起回复
回复

使用道具 举报

John.xie
 楼主| 发表于 2017-9-15 10:08:51 | 显示全部楼层
xuduo2188 发表于 2017-9-15 09:50
你做路由了吗,你tracert一下

tracert 172.16.2.1 流量去到 172.16.0.1 就丢掉了,但是用 172.16.0.1 tracert 172.16.2.1 是OK的
6# 2017-9-15 10:08:51 回复 收起回复
回复

使用道具 举报

John.xie
 楼主| 发表于 2017-9-15 10:08:54 | 显示全部楼层
xuduo2188 发表于 2017-9-15 09:50
你做路由了吗,你tracert一下

tracert 172.16.2.1 流量去到 172.16.0.1 就丢掉了,但是用 172.16.0.1 tracert 172.16.2.1 是OK的
7# 2017-9-15 10:08:54 回复 收起回复
回复

使用道具 举报

John.xie
 楼主| 发表于 2017-9-15 10:08:57 | 显示全部楼层
xuduo2188 发表于 2017-9-15 09:50
你做路由了吗,你tracert一下

tracert 172.16.2.1 流量去到 172.16.0.1 就丢掉了,但是用 172.16.0.1 tracert 172.16.2.1 是OK的
8# 2017-9-15 10:08:57 回复 收起回复
回复

使用道具 举报

zhurx
发表于 2017-9-15 10:11:38 | 显示全部楼层
不是Policy 路由, 凡是在VPN感兴趣流 ACL 许可的流量,才可以进vpn. 才可以在IPsec sa 内进行数据传输。

9# 2017-9-15 10:11:38 回复 收起回复
回复

使用道具 举报

zhurx
发表于 2017-9-15 10:18:18 | 显示全部楼层
有很多技术很强的人,沟通表达能力却很弱。如果真想快点解决问题,就将你的测试命令和结果 都粘出来。
写得越多越清楚,别人就理解得越多,更容易有助于解决问题。

点评

John.xie
好的 谢谢  详情 回复 发表于 2017-9-15 10:24
10# 2017-9-15 10:18:18 回复 收起回复
回复

使用道具 举报

John.xie
 楼主| 发表于 2017-9-15 10:24:21 | 显示全部楼层
zhurx 发表于 2017-9-15 10:18
有很多技术很强的人,沟通表达能力却很弱。如果真想快点解决问题,就将你的测试命令和结果 都粘出来。
写 ...

好的  谢谢
11# 2017-9-15 10:24:21 回复 收起回复
回复

使用道具 举报

ackca
发表于 2017-9-15 10:33:59 | 显示全部楼层
首先,L2L IPSec VPN的感兴趣中必须有远程用户的远程拨入IP,这是大前提,没有的话做什么都不管用,之后远程连接VPN和L2L VPN如果是同一台设备的话,不一定能和IPSec L2L兼容,你最好问问厂家,
如果可以的话,L2L VPN最好用隧道级VPN
12# 2017-9-15 10:33:59 回复 收起回复
回复

使用道具 举报

naixer
发表于 2017-9-15 11:53:57 | 显示全部楼层
我来看看
13# 2017-9-15 11:53:57 回复 收起回复
回复

使用道具 举报

风的痕迹32768
发表于 2017-9-16 15:55:16 | 显示全部楼层
从你的拓扑图上的地址来看有点问题,先抛开这个,首先你A和B已经建立好了IPSEC vpn了,那A和B的隧道地址坑定是属于同一个子网的,所以两个隧道接口可以看直连的,以这个基础上建立IGP来实现下面两个远端主机的通信,比如说运行OSPF,把A的e0/0,e0/1加入进程,同理B的e0/0和e0/1也加入进程,接着吧两台主机的网关指向A和B(我这里是对你的拓扑,具体请根据自己网络)。另外补充一点,你的nat肯定是做在e0/0上的(正常来说),隧道出去是不会触发nat装换的,正常也不该触发,没有必要通过隧道直接上网,隧道的目的一般是几个主分部的加密通信。纯手打,希望对你有帮助!
14# 2017-9-16 15:55:16 回复 收起回复
回复

使用道具 举报

风的痕迹32768
发表于 2017-9-16 15:59:21 | 显示全部楼层
补充一下,如果你通过拨号来获取地址的话,按你的拓扑看,如果使用pppoe的话,需要将虚模板接口加入协议,但是虚模板接口的MTU是自动修改过的,你要加协议的话,要修改成1500.
15# 2017-9-16 15:59:21 回复 收起回复
回复

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2024-4-25 11:30 , Processed in 0.076536 second(s), 17 queries , Redis On.  

  Powered by Discuz!

  © 2001-2024 HH010.COM

快速回复 返回顶部 返回列表