Назад | Перейти на главную страницу

Cisco ASA VPN: причина отбрасывания: (acl-drop) поток запрещен настроенным правилом

Во время перенастройки VPN мы столкнулись с довольно серьезной проблемой, когда трафик VPN не передавался одноранговому узлу. Используя пакетный трассировщик, мы получили следующую отладку:

Фазы 1–9 прошли успешно. [...]

Фаза: 10
Тип: VPN
Подтип: шифрование
Результат: DROP
Конфиг:
Дополнительная информация:

Результат:
интерфейс ввода: внутренний
вход-статус: вверх
вход-линия-статус: вверх
выходной интерфейс: newiface
статус вывода: вверх
статус строки вывода: вверх
Действие: падение
Причина сброса: (acl-drop) Поток запрещен настроенным правилом

Мы просмотрели много документов в Google, но ничего не помогло.

К счастью, я уже могу ответить - я хочу позволить кому-то еще сэкономить несколько часов и много головной боли.

мы все настроили правильно - NAT, ACL, CACL, маршруты и т. д. Но мы забыли одну важную вещь - этот интерфейс был новым, и IPSEC не был включен на этом интерфейсе.

крипто ikev1 включить newiface

было решением нашей проблемы, после добавления этой команды все (ну, в основном) прошло без проблем. Я не нашел упоминания об этом как о возможном решении для (acl-drop) Поток запрещен настроенным правилом, поэтому я решил поделиться им с другими.