设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ Cisco安全 ASA NAT问题请教!!!
返回列表 发新帖
查看: 3184|回复: 4
收起左侧

ASA NAT问题请教!!!

[复制链接]
流连忘返_
发表于 2013-7-22 13:13:06 | 显示全部楼层 |阅读模式

拓扑如上图


通过ASA5505建立IPSec VPN,建立成功了


1.可以远程拨入VPN,获取VPN Pool的地址192.168.3.10/24
2.防火墙后面的Server IP从DHCP获取 192.168.3.100/24
3.现在为了让Server可以上网,在ASA做了NAT:192.168.3.0/24映射到WAN口,可以正常上网。
show nat interface inside detail  
Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic Server interface  
    translate_hits = 547, untranslate_hits = 256
    Source - Origin: 192.168.3.0/24, Translated: 125.*.*.*/32



问题是:做NAT之前,VPN client 192.168.3.10可以ping Server 192.168.3.100
             做完NAT之后,无法Ping通。。。。。。


防火墙日志显示:Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:192.168.3.12 dst inside:192.168.3.101 denied due to NAT reverse path failure


需要让内网Server可以上网,然后VPN拨入后可以互ping


请高手指点,谢谢!!!!!!!!!!!!!!!!!!!!!!

interface, dynamic, outside, 防火墙, source

相关帖子
回复

使用道具 举报

流连忘返_
 楼主| 发表于 2013-7-22 13:27:02 | 显示全部楼层
沙发 2013-7-22 13:27:02 回复 收起回复
回复 支持 反对

使用道具 举报

sadxwb
发表于 2013-7-25 12:26:10 | 显示全部楼层
要做NAT 的bypass,  你做NAT后,原本到VPN Client的流量被NAT map成端口的地址了,你可以做个tracert印证下,所以要做NAT BYPASS掉从内部服务器到VPN pool的流量
板凳 2013-7-25 12:26:10 回复 收起回复
回复 支持 反对

使用道具 举报

流连忘返_
 楼主| 发表于 2013-9-11 08:40:15 | 显示全部楼层
sadxwb 发表于 2013-7-25 12:26
要做NAT 的bypass,  你做NAT后,原本到VPN Client的流量被NAT map成端口的地址了,你可以做个tracert印证下 ...

谢谢!!!!!!!!!
地板 2013-9-11 08:40:15 回复 收起回复
回复 支持 反对

使用道具 举报

wera1999
发表于 2013-12-12 23:54:29 | 显示全部楼层
5# 2013-12-12 23:54:29 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-6 22:21 , Processed in 0.072947 second(s), 25 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表