请教ASA IPSec VPN的NAT问题！！！！！

流连忘返_ · 发表于 2013-7-19 11:29:13

file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/enhtmlclip/Image(16).png

拓扑

拓扑如上图

通过ASA5505建立IPSec VPN，建立成功了

1.可以远程拨入VPN，获取VPN Pool的地址192.168.3.10/24
2.防火墙后面的Server IP从DHCP获取 192.168.3.100/24
3.现在为了让Server可以上网，在ASA做了NAT：192.168.3.0/24映射到WAN口，可以正常上网。
show nat interface inside detail
Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic Server interface
translate_hits = 547, untranslate_hits = 256
Source - Origin: 192.168.3.0/24, Translated: 125.*.*.*/32

问题是：做NAT之前，VPN client 192.168.3.10可以ping Server 192.168.3.100
         做完NAT之后，无法Ping通。。。。。。

防火墙日志显示：Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:192.168.3.12 dst inside:192.168.3.101 denied due to NAT reverse path failure

需要让内网Server可以上网，然后VPN拨入后可以互ping

请高手指点，谢谢！！！！！！！！！！！！！！！！！！！！！！

流连忘返_ · 发表于 2013-7-19 11:32:10

乱了江湖 · 发表于 2013-7-19 11:37:18

我不是来回答问题的我只是觉得你的图片很……特别

流连忘返_ · 发表于 2013-7-19 11:40:51

流连忘返_ · 发表于 2013-7-19 11:51:44

高人在哪？？？？？？？？？

rainy3182 · 发表于 2013-7-19 14:21:11

流连忘返_ · 发表于 2013-7-19 15:08:16

tyzzf520 · 发表于 2013-7-20 12:45:48

好好好好好

流连忘返_ · 发表于 2013-7-22 13:12:04

没有人知道啊？？？？？

maqizhao · 发表于 2013-9-15 15:44:26

都快过来围观，楼主的好帖赞爆了

handianming · 发表于 2013-12-27 11:39:32

您这个问题解决了吗？我这现在也有这个问题。不知得怎么弄啊

maxqueen · 发表于 2014-1-3 16:55:09

一直觉得防火墙很难

zly0307 · 发表于 2014-1-7 17:34:00

在防火墙上写access-list，对走vpn的traffic不做nat。

shaoyung · 发表于 2014-1-7 21:21:01

maxqueen · 发表于 2014-1-9 09:23:56

肯定是ACL匹配到的感兴趣流量错了
1个是走VPN
1个是走internet

账号		自动登录	找回密码
密码			论坛注册

[其他] 请教ASA IPSec VPN的NAT问题！！！！！

相关帖子

浏览过的版块

客服中心

投诉建议