好的…我有一个非常奇怪的IPSec问题(至less对我来说很陌生:-))。 我有一个连接到ASA 5510的Sonicwall Pro 2040.当从networking的Sonicwall端发起的stream量,它工作正常…但是如果它起源于ASA端,没有骰子。 例如,来自PC-A的在sonicwall上的icmp回声被ASA上的PC-B接收。 PC-B回应icmp回复,PC-A收到回应。 如果PC-B向PC-A发送回应请求,它甚至不会穿过IPSec通道(通过线路上没有产生ESP通信validation)。 PC-B上的wireshark显示ICMP回显请求上的EXACT SAME源IP和MAC作为icmp echo reply …有什么想法可能导致此行为? 🙁
附加说明:如果我清除ASA上的isakmp,并尝试从PC-B ping到PC-A,它不会尝试启用隧道…似乎并没有意识到这种stream量是针对sonicwallnetworking,尽pipe当我发送回复它工作正常。
另外一个注意事项:我使用与IPsec隧道相同的ACL在ASA上运行了一个数据包捕获,并且它匹配来自PC-B的icmp请求数据包…所以由于某种原因,它只是不尝试通过隧道发送它们它匹配。
啊哈……显然是因为我是在内部接口上进行发夹式testing(在我将其发送到远程站点之前进行testing),并且默认路由出了外部接口,所以我需要在那里放置一条静态路由来将VPN通信路由回到内部接口,然后将它发送到隧道。 我注意到这一点,当我使用数据包跟踪器,它提到了stream量…我想一个VPN连接入站创build的stream量可以优先于静态路由…很高兴知道:-)