ASA和艾泰路由器做IPsec 问题

zhangshengxiang@samesun.com.cn · ‎08-19-2020

现在有个需求就是使用艾泰路由器和Cisco ASA做IPSec VPN，第一阶段协商成功，第二阶段的SA可以查到ASA设备和内网设备连接使用的是100.1.1.2/30，内网段地址有172.16.100.0/24 172.16.20.0/24等
艾泰设备的内网接口是172.16.101.0/24，172.16.21.0/24
ASA做了no nat还是无法通信，不太明白ASA设备的acl该怎么写，100.1.1.2/30这个段也需要写进去吗？还是只写内网网段
画了一个简单的拓扑图

qiuxiang2013 · ‎08-20-2020

IPSEC-VPN匹配感兴趣流，只需要写内网网段就行

zhangshengxiang@samesun.com.cn · ‎08-20-2020

qiuxiang2013 发表于 2020-8-21 09:40
IPSEC-VPN匹配感兴趣流，只需要写内网网段就行

我只配置了感兴趣流，ASA端的100.1.1.2/30段没写进去，同时配置了两端访问网段的no nat，还是不通，从艾泰端pingASA端内网设备，ASA ipsec sa里可以看到有recive pkt，但就是不通

qiuxiang2013 · ‎08-23-2020

zhangsx1028 发表于 2020-8-21 10:27
我只配置了感兴趣流，ASA端的100.1.1.2/30段没写进去，同时配置了两端访问网段的no nat，还是不通，从艾 ...

ASA的 ICMP有放行吗