服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 思科ASA 5505内部接口路由问题
Intereting Posts
Apache ScriptAlias和访问错误? 在mysql中创buildsphinx表崩溃mysql – 为什么? 在apache2中自动阻塞IP – 有可能吗? VirtualPC Trac设备 我正努力在运行Amazon Linux的Amazon EC2服务器上安装darkstat。 有小费吗? 备份事务日志到磁带? Windows DNS不会撷取外部网站的变更logging Windows 2003是否支持TLS 1.1和1.2? 什么导致memcache删除密钥? 系统中心虚拟机pipe理器2016存储状态保留 如何configurationTomcat WebApp以接受来自Apache的凭据 将SQL 7升级到SQL 2008的最佳方法是什么? 推荐的方式来实现Postfix的“队列前”SpamAssassin过滤? 如何使用tcpdump捕获重传的数据包信息? ZFS vdevs会累积校验和错误,但是单个磁盘不会

思科ASA 5505内部接口路由问题

我有以下链接中的networking拓扑,请参考: http : //www.gigapac.com/wp-content/uploads/2012/03/topology.png

  1. 站点到站点IPSec VPN在两台Cisco路由器之间运行。
  2. ASA防火墙有两个接口e0 / 0(外部)和e0 / 1(内部),目前configuration为局域网中PC的默认网关。
  3. 我还在ASA中添加了一个路由,它通过192.168.139.253(内部)接口路由192.168.51.0/24。
  4. IP地址为192.168.139.21的PC无法将RDP连接到192.168.51.21。 但是当我在PC上设置一个静态路由并且通过192.168.139.253路由192.168.51.0/24时,RDP会话就工作了。

  5. 我也启用了以下命令:

    同一安全通信许可证内部接口

但是还是没有运气。 我需要做“没有控制”或做一些静态的翻译吗?

ASA只看到一半的交通stream量。

来自192.168.139.21上的PC的SYN数据包将被发送到ASA,ASA将跟踪它,然后将其转发到192.168.139.253上的路由。 这个路由器会把SYN发送到192.168.51.1上的路由器,然后发送到192.168.51.21上的机器上。

一个SYN + ACK数据包将被发回192.168.51.1上的路由器,通过IPSec隧道到192.168.139.253上的路由器,而不经ASA返回到PC。 当从客户端发送ACK数据包时,ASA将丢弃该数据包,因为它没有在192.168.51.21上看到机器上的SYN + ACK。

为了解决这个问题,ASA需要看到双向的stream量。 有很多解决scheme – 其中之一可能是将192.168.139.253路由器的Fa0移动到ASA的外部接口。