NAT-T不通？？？

ramon_3 · 发表于 2012-11-1 15:36:29

本人做了个NAT-T配置，但是不通，不知道为什么请大家指教那里出问题了？？

Client 1-------RouterVPN（61.1.1.1)--------Internet------------(f1/0,202.1.1.1)PAT------(172.16.1.1)ASA------Client 2

0、Client 1是10.1.1.0/24，Client 2是192.168.1.0/24；

1、RouterVPN是cisco路由器，配置了标准的IPSec VPN，Peer是202.1.1.1；（本打算VPN通了再把NAT做
      进去，可是。。。。），
   感兴趣流量是s:10.1.1.0，d:192.168.1.0；
   默认路由指向Internet；

2、ASA没有配置NAT，只配了标准的IPSec VPN（本打算VPN通了再把NAT做进去，可是。。。。），
   Peer是61.1.1.1；
   感兴趣流量是s:192.168.1.0，d:10.1.1.0；
   默认路由指向PAT；

3、PAT配置默认路由指向Internet，静态路由指向Client 2；
   acess-list 1 permit 172.16.1.0 0.0.0.255
   acess-list 1 permit 192.168.1.0 0.0.0.255
   ip nat inside source list 1 int f1/0 overload
接口配置ip nat inside/outside
   ip nat inside source static udp 172.16.1.1 500 int f1/0 500
   ip nat inside source static udp 172.16.1.1 4500 int f1/0 4500

4、测试时，Client 1 ping Client2不通；然后两边VPN设备都clear isakmp sa后，尝试反过来ping。
   发现从Client 2 ping Client 1通，PAT上有地址翻译；而此时Client 1 ping Client2也通，似乎Client 2 先
      发起VPN连接，则另一端的Client 1才能反过来ping。

请问是什么问题？？是我命令错吗？？请大家指点，很紧急啊！！！！

在路上 · 发表于 2012-11-1 20:08:02

对ASA来说，默认拒绝外网主动流量请求，Client 1 ping Client2也就自然不通，但由里面主动Client 2 ping Client 1通后，在一定的时间内，ASA会保持这个链接，Client 1再 ping Client2自然也就通。
你须在ASA的外网口的in方向启用ACL。

ramon_3 · 发表于 2012-11-2 11:19:38

我已经在ASA的外网口开了ACL了：
access-list 101 per ip an an
access-list 101 per icmp an an
access-group 101 in int out

账号		自动登录	找回密码
密码			论坛注册

NAT-T不通？？？

浏览过的版块

客服中心

投诉建议