请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 456|回复: 1

【原创】ASA在NAT设备后面做VPN与对方建立s2sVPN

[复制链接]
发表于 2018-9-19 20:41:18 | 显示全部楼层 |阅读模式
最近客户有一个需求就是通过ASA与对方建立site-to-stie VPN,本来应该是很简单的事情,不过一看客户网络架构还是有点难度的了。花了几个小时终于搞定了。分享一下吧。期间也是各种googel。拓扑如下图。
ASA5510 与remote site 建立  site to site VPN
1:ASA5510 outside 配置是的私有地址,然后在负载设备做静态NAT,映射了一个公网地址58.x.x.8。
按照料传统VPN方式建立后,对方日志提示如下:
Sep 18 09:43:47 charon  09[IKE] <con6000|999> remote host is behind NAT
Sep 18 09:43:47 charon  09[ENC] <con6000|999> generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Sep 18 09:43:48 charon  09[NET] <con6000|999> sending packet: from 112.x.x.1[4500] to 58.x.x.8[4500] (100 bytes)
Sep 18 09:43:48 charon  09[NET] <con6000|999> received packet: from 58.x.x.8[4500] to 112.x.x.1[4500] (84 bytes)
Sep 18 09:43:48 charon  09[ENC] <con6000|999> parsed ID_PROT response 0 [ ID HASH V ]
Sep 18 09:43:48 charon  09[IKE] <con6000|999> received DPD vendor ID
Sep 18 09:43:48 charon  09[IKE] <con6000|999> IDir '192.168.1.1' does not match to '58.x.x.8'

这时对方在建立VPN的时候需要注意,需要指定peer identifier  192.168.1.1.参考如下。

参考上图后对方添加了peer identifier.


2:这个问题解决后,又出现了对方可以ping我方PC,我方PCping不通以方。那这个优先考虑是感兴趣流不做NAT,没有做对所引起的问题。
后发现,NO-NAT是做的,但是查资料发现NAT有先后顺序。调整后发现双方可以ping通。
调整方式通过ASDM。


3:通过ASA inside 地址测试。如果想方便通过ASA inside ip 地址测试话,需要配置一条命令,就可以使用asa inside ip 地址去测试
如下命令:
management-access inside

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (3 评价)
发表于 2018-9-20 09:17:01 | 显示全部楼层
感谢楼主分享,原创内容请在标题添加【原创】标签哦~
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-10-24 13:44 , Processed in 0.091787 second(s), 33 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表