Я рассмотрел вопросы, очень похожие на мой, но мой сценарий кажется другим.
Версия ASA 9.7 (1) 4
У меня было соединение ikev1 типа «сеть-сеть» из удаленной сети в AWS с удаленной сетью на стороне клиента. Я связываю обе стороны с ASA 5508 (клиент не хочет использовать VPN напрямую с AWS). VPN работал нормально, но теперь клиент просит меня перейти на ikev2 и преобразовать сеть AWS в заданную подсеть.
Так что я:
Поменял ikev1 на ikev2 conf
Создан сетевой объект с заданным диапазоном NAT (Custom-NAT)
Создано правило NAT
nat (внешний, внешний) источник динамический AWS_network Custom-NAT назначение статический Заказчик Заказчик
Изменен ACL для этого списка доступа к криптографической карте external_cryptomap расширенное разрешение IP-объекта Объект Custom-NAT Заказчик
Внесены изменения. Туннель подошел к фазе 1, фазе 2, но трафика нет совсем.
Из логов:
«Построенное входящее TCP-соединение», за которым следует «Таймаут SYN для разрыва TCP-соединения». В этих журналах я вижу, что исходный IP-адрес является исходным (он не был преобразован через NAT). Идентификатор системного журнала - 302014, который из документации: принудительное завершение через 30 секунд. , ожидает завершения трехстороннего рукопожатия ".
Итак, я понимаю, что не могу открыть сокет TCP, потому что NAT еще не состоялся.
Что мне не хватает?
Любая помощь по этому поводу будет очень принята,
Елена
После долгих усилий я изменил этот объект NAT с диапазона на подсеть, и это помогло.