У меня была существующая установка с 5515-X, служащим моим брандмауэром и VPN, которая работала нормально. После переезда в новое место и, следовательно, на новый IP-адрес внешнего интерфейса, я могу успешно подключиться к VPN, но для VPN-клиента ничего не видно (т. Е. Не может достичь ничего внутри сети). Я подозревал, что UDP 500 может быть заблокирован, но провайдер настаивает на том, что это не так. (Интернет-провайдер управляет Cisco 3900 для подключения к Интернету.) Между 3900 и ASA нет устройств. Я просто смогу изменить адрес внешнего интерфейса, и он должен подключиться и работать.
Есть идеи, почему установка не работает?
РЕДАКТИРОВАТЬ: теперь я могу получить доступ к внутреннему интерфейсу ASA через Telnet, и я могу подключиться к нему, но я не вижу ничего другого в сети. VPN выделяет мне IP-адрес, и я остаюсь на связи. Что-то не так с конфигурацией VPN, хотя в ней ничего не изменилось (кроме внешнего IP-адреса).
Для вашего Cisco ASA необходимы UDP 500 и 4500.
Если у вас есть доступ к ASDM, вы можете проверить ведение журнала вашего соединения при попытке подключения к VPN. Но это случай устранения неполадок, в котором должен участвовать провайдер. Также убедитесь, что сеть, из которой вы подключаетесь, разрешает VPN-подключение.
Найдено решение:
По какой-то причине мы обнаружили, что не было настроено правил NAT для VPN ACL. Я добавил в конфиг следующее:
nat (inside,outside) 1 source static SPLIT-ACL-VPN SPLIT-ACL-VPN destination static
NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup
Теперь мы можем получить доступ к сетевым ресурсам, как и ожидалось.