已解决: anyconnect VPN能够ping通内网IP，但是无法ping通ASA的inside端口地址

tylerhu28682 · ‎12-18-2019

碰到一个问题，请坛里的大神指教一下。
搭建anyconnect vpn，目前vpn拨号成功，能够ping通内网的任意一台PC（192.168.0.0/24）。但是无法ping通ASA的inside端口地址（192.168.0.254）。
对icmp也是放行了的，内网PC可以ping通ASA的inside端口地址。请问，这是啥原因呢，郁闷得很

Rockyw · ‎12-18-2019

楼主想要ping通inside端口是要做什么？出于安全考虑外网ping不通才正常。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

Rockyw · ‎12-18-2019

楼主想要ping通inside端口是要做什么？出于安全考虑外网ping不通才正常。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rockyw | If it solves your problem, please mark as answer. Thanks !

Rps-Cheers · ‎12-19-2019

请问twice nat是不是没有加“route-lookup”？
如果没有，加上试试看能否ping通

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

tylerhu28682 · ‎12-19-2019

1540488497lcj 发表于 2019-12-19 17:43
请问twice nat是不是没有加“route-lookup”？
如果没有，加上试试看能否ping通

多谢您的回复。
我的nat配置如下，请帮忙看看，具体如何修改？
//定义内网地址对象
object network inside
subnet 192.168.0.0 255.255.255.0
//定义anyconnect VPN地址对象
object network anyconnect
subnet 10.10.1.0 255.255.255.0
//NAT豁免
nat (inside,outside) source static any any destination static anyconnect anyconnect no-proxy-arp route-lookup
//内网NAT配置，可上公网
nat (inside,outside) after-auto source dynamic inside interface

18653465190 · ‎12-24-2019

ASA等安全设备默认是禁PING的，楼主放过ICMP，只是放过这个协议，但作为防火墙的内口，需要单独设置的。

tylerhu28682 · ‎12-29-2019

18653465190 发表于 2019-12-25 11:02
ASA等安全设备默认是禁PING的，楼主放过ICMP，只是放过这个协议，但作为防火墙的内口，需要单独设置的。

您好，我没太明白。防火墙的内口需要单独设置什么？

tylerhu28682 · ‎12-29-2019

Rocky 发表于 2019-12-26 22:42
楼主想要ping通inside端口是要做什么？出于安全考虑外网ping不通才正常。

搞清楚了，确实如您所说，即便通过VPN，默认也无法访问inside地址。增加一条命令就可以了，已测试成功。
management-access inside