本帖最后由 maguanghua2013 于 2017-3-3 11:17 编辑 问题解决了。看二楼。先说下问题:之前ASA单模式与2911建立VPN,两边总共6个网段互访都没问题。
后来业务需求,2911配置没变, ASA上开启多模式,其中一个context与总部的2911路由器配置ipsec vpn。配置都是刷上去的,没有特殊修改。
但是开启多模式之后,isakmp和ipsec都正常协商,也都有sa和spi,却出现诡异的现象:
10.1.1.0/24网段和总部其他网段都能正常通讯,但是10.10.10.0/24和10.1.4.0/24都不能和总部192的网段通讯。
----------------
检查思路,isakmp sa都正常;
在ASA上能看到192.168.x.0/24和10.10.10.0/24的ipsec sa中,
只有收到的解密报文,没有发送的加密报文
在2911上看到192.168.x.0/24和0.10.10.0/24的ipsec sa中,
只有发送的加密报文,没有收到的解密报文
正常的SA:
也就是说,路由器这边能正常发送,ASA能正常接受,但是没有返回
检查了server到网关的路由,都正常。
所以可能是server没回应,或者被ASA过滤。后者可能行更大。
然后我尝试在ASA上抓包,
在相关的接口下,只抓到了192.168.x.0/24与10.1.1.0/24的报文,没有任何有关10.10.10.0/24或者10.1.4.0/24与192网段的报文。
这个结果看,应该是被ASA过滤了吧。。
-----------------------------------------------
我尝试吧感兴趣流写成192.168.0.0/16 to 10.0.0.0/8 测试之后发现现象还是一样的。
总部的192.168只能跟10.1.1.0/24通信,也就是ASA的inside区域。跟其他的zone不通。
------------------------------
2017/03/01更新我又在两边的server上抓包确认了一下:
192.168.x.0/24与10.1.1.0/24在server上都能看到
然后,从192网段ping 10.10.10.0/24的server ,在ASA上能看到ipsec sa中的
pkts decaps计数器增加,也就是能收到远端的数据包,并解密。但是在10.10.10.0/24的server上没有收到任何数据包。反过来,10.10.10.0 ping 192的server,能从192的服务器上抓到过来的数据,并且正常回应。问题就是这样,整个过程ipsec加解密都正常,所有服务器也都能正常对公网提供服务。
流量不通应该就是ASA的某个特性把非inside口的流量给过滤了。