我有两台服务器:
在设置vpn之前,我可以从aaaa / 24上的任何一台机器ping yyyy。
我的问题是,在两台服务器之间build立一个VPN之后,我不能再从aaaa / 24 ping YYYY。 有谁知道这可能是为什么?
我的猜测是,ping yyyy是不必要的路由通过VPN隧道,但我不知道如何防止发生。 另外,如果它正在通过vpn那么为什么不vpn允许它..一个线索可能是在asa5505日志哪些状态:
Group = xxxx, IP = xxxx, Rejecting IPSec tunnel: no matching crypto map entry for remote proxy aaaa/255.255.255.0/0/0 local proxy yyyy/255.255.255.255/0/0 on interface Outside 我的问题再次是我无法解释这个错误。
如果这是一个局域网到局域网的拓扑如下所示:
<------VPN------> aaaa/24---[Checkpoint]---Internet---[ASA]---bbbb/28 xxxx yyyy
当VPN启动时,您无法ping通ASA,因为Check Point防火墙包含在本地encryption域中,而ASA则不包含在本地encryption域中。
最简单的解决scheme是将ASA的外部地址添加到本地encryption域,所以ASA上的crypto acl应该是:
access-list asa-checkpoint-vpn_acl permit ip host yyyy host xxxx access-list asa-checkpoint-vpn_acl permit ip host yyyy aaaa 255.255.255.0 access-list asa-checkpoint-vpn_acl permit ip host bbbb 255.255.255.240 aaaa 255.255.255.0
在客户端vpn的情况下,默认情况下指示vpn客户端通过VPN发送所有stream量,即networking上没有直接连接的任何东西。 您的路由表被忽略。 如果您不希望在连接时将所有stream量发送到VPN隧道,则需要在ASA上启用拆分隧道。
思科拆分隧道howto