设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCNP求助答疑 IPsec VPN 两个私网ping不通
返回列表 发新帖
查看: 3722|回复: 8
收起左侧

[已解决] IPsec VPN 两个私网ping不通

[复制链接]
kbmdkg
发表于 2013-1-14 14:26:31 | 显示全部楼层 |阅读模式
H9I8Q$V_]L0OM0X76U{J)FX.jpg


ASA3 ping 通 ASA4的外网口
ASA4 ping 通ASA3的外网口
ASA3 ping不通ASA4的内网口  192.168.2.1
ASA4 ping不通ASA3的内网口  192.168.1.1
C1也ping不通C2
请问下什么原因
谢谢

192.168.1.0 - ASA3 - 200.1.1.0 - R1 - 200.2.1.0 - AS4 - 192.168.2.0  
R1配置
interface e0/0
ip add 200.1.1.1 255.255.255.0
no shut
interface e0/1
ip add 200.2.1.1 255.255.255.0
no shut

ASA3
interface e0/0
nameif outside
ip add 200.1.1.2 255.255.255.0
no shut
interface e0/1
nameif inside
ip add 192.168.1.1 255.255.255.0
no shut
route outside 0 0 200.1.1.1
nat-control
nat (inside) 1 0 0
global (outside) 1 interface
access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (inside) 0 accless-list no-nat
crypto isakmp policy 10
authentication pre-share
hash sha
encap 3des
group 2
crypto isakmp key cisco add 200.2.1.2
crypto isakmp enable outside
crypto ipsec transform-set mytrans esp-sha-hmac esp-3des
crypto map mymap 10 set transform-set mytrans
crypto map mymap 10 set peer 200.2.1.2
crypto map mymap 10 match add no-nat
crypto may mymap interface outside

ASA4
interface e0/0
nameif outside
ip add 200.2.1.2 255.255.255.0
no shut
interface e0/1
nameif inside
ip add 192.168.2.1 255.255.255.0
no shut
route outside 0 0 200.2.1.1
nat (inside) 1 0 0
global (outside) 1 interface
access-list no-nat permit ip 192.168.2.0 255.255.255.0 192.168.1.0 255.255.255.0
nat (inside) 0 access-list no-nat
crypto isakmp polciy 10
authentication pre-share
encryption 3des
hash sha
group 2
crypto isakmp key cisco address 200.1.1.2
crypto isakmp enable outside
crypto ipsec transform-set mytrans esp-sha-hmac esp-3des
crypto map mymap 10 set peer 200.1.1.2
crypto map mymap 10 set transform-set mytrans
crypto map mymap 10 match add no-nat
crypto map mymap interface outside
0VURP1_1C1L3C2VUX0L9(B0.jpg
回复

使用道具 举报

klinuxe
发表于 2013-1-14 15:20:35 | 显示全部楼层
把NAT干掉先
沙发 2013-1-14 15:20:35 回复 收起回复
回复 支持 反对

使用道具 举报

fire_phoenix
发表于 2013-1-14 21:46:50 | 显示全部楼层
access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (inside) 0 accless-list no-nat
这个旁路
不用改用这个

板凳 2013-1-14 21:46:50 回复 收起回复
回复 支持 反对

使用道具 举报

fire_phoenix
发表于 2013-1-14 21:52:47 | 显示全部楼层
access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (inside) 0 accless-list no-nat
这个旁路
不用改用这个

还有感兴趣流没写
防火墙穿越时状态话的,outbound可以正常出去,但是回来呢 esp 50放行

还有就是在写感兴趣流的时候
小号 deny  掉真真PC感兴趣流,你的加密点现在是接outside口地址,所以你的感兴趣流是nat转化的地址
因nat转换了
地板 2013-1-14 21:52:47 回复 收起回复
回复 支持 反对

使用道具 举报

fire_phoenix
发表于 2013-1-14 21:54:13 | 显示全部楼层
access-list no-nat permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
nat (inside) 0 accless-list no-nat
这个旁路
不用改用这个

还有感兴趣流没写
防火墙穿越时状态话的,outbound可以正常出去,但是回来呢 esp 50放行

还有就是在写感兴趣流的时候
小号 deny  掉真真PC感兴趣流,你的加密点现在是接outside口地址,所以你的感兴趣流是nat转化的地址
因nat转换了
crypto isakmp key cisco add 200.2.1.2
这个写成tunnel-group
5# 2013-1-14 21:54:13 回复 收起回复
回复 支持 反对

使用道具 举报

皇家禁卫队
发表于 2013-1-25 07:52:23 | 显示全部楼层
好贴,绝对要支持下!!~~
6# 2013-1-25 07:52:23 回复 收起回复
回复 支持 反对

使用道具 举报

liwei983020
发表于 2013-3-28 09:02:43 | 显示全部楼层
学习一下!
7# 2013-3-28 09:02:43 回复 收起回复
回复 支持 反对

使用道具 举报

shuijingmu
发表于 2013-5-12 09:48:28 | 显示全部楼层
ASA3或者ASA4上面ping对方的话,要用扩展ping吧,源为自己的内网地址
8# 2013-5-12 09:48:28 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-26 13:34 , Processed in 0.083524 second(s), 24 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表