у нас есть два ASA 5510: один в 8.4 (4) и один в 8.2 (5) в настройке VPN типа «сеть-сеть». Весь внутренний трафик работает без сбоев.
Сайт / подсеть A: 192.100.0.0 - локальный (8.4 (4)) Сайт / подсеть B: 192.200.0.0 - удаленный (8.2 (5)) Пользователи VPN: 192.100.40.0 - назначены ASA
Когда вы подключаетесь к сети через VPN, весь трафик попадает на сайт A, и все в подсети A доступно.
Однако сайт B полностью недоступен для пользователей VPN. Все машины в подсети B, сам брандмауэр и т. Д. Недоступны с помощью команды ping или иным образом.
Я понизил до 8.2, а затем вернулся к 8.4 на ASA сайта A. Сайт B теперь работает под управлением 8.2 (5).
Заранее большое спасибо, и я надеюсь, что я был достаточно внимателен.
Оказывается, это была комбинация правила NAT и ACL Site-to-Site. По какой-то причине настройки ACL не прилипали из-за конфликта в конфигурации из-за обновления 8.2 - 8.4. Мне сложно объяснить, но после 1,5 часов разговора по телефону с Cisco они восстановили туннель между сайтами в 8.4 (4) и правильно установили ACL. Если вы когда-нибудь столкнетесь с этим снова и только что обновили с 8.2 до 8.4, решение, похоже, состоит в том, чтобы перестроить сайт-сайт с нуля. Спасибо всем за помощь!
Возможно, вам не хватает NAT, но сначала убедитесь, что вы добавили эту строку в свою конфигурацию, разрешение одинакового трафика внутри интерфейса.
Справочник команд Cisco для этого находится здесь ver8.4 Команда Ref. Это позволит «закреплять», что по умолчанию отключено. В ASDM он находится в разделе «Конфигурация» -> «Настройка устройства» -> «Интерфейсы». Внизу страницы.
Прежде чем создавать NAT, вы должны создать объекты для ссылки в NAT:
объект сеть obj-192.100.0.0 подсеть 192.100.0.0 255.255.255.0 описание Подсеть A
объект сеть obj-192.200.0.0 подсеть 192.200.0.0 255.255.255.0 описание Подсеть B
объект сеть obj-192.100.40.0 подсеть 192.100.40.0 255.255.255.0 описание Remote Access VPN Users
NAT от вашей подсети удаленного доступа к вашей подсети B будет:
nat (снаружи, снаружи) исходный статический obj-192.100.40.0 obj-192.100.40.0 целевой статический 192.200.0.0 192.200.0.0