我有一个现有的设置与5515-X作为我的防火墙和VPN,工作正常。 由于移动到一个新的位置,从而一个新的外部接口IP,我可以成功地连接到VPN,但VPN客户端(即无法到达networking内部)没有任何东西可见。 我怀疑UDP 500可能被阻塞,但ISP坚持认为它不是。 (ISP正在pipe理一台Cisco 3900以连接互联网。)3900和ASA之间没有设备。 我应该能够改变外部接口的地址,它应该是即插即用的。
任何想法为什么设置不起作用?
编辑:我现在可以通过Telnet到达ASA的内部接口,我可以连接到它,但我不能看到networking上的其他任何东西。 VPN分配一个IP地址,我保持连接。 即使VPNconfiguration没有任何改变(除了外部IP地址),VPNconfiguration也是有问题的。
您的Cisco ASA需要UDP 500和4500。
如果您具有ASDM访问权限,则可以在尝试VPN时检查连接的日志logging。 但是这是ISP应该参与的故障排除的情况。请确保您连接的networking允许VPN连接。
解决scheme:
出于某种原因,我们发现没有为VPN ACLconfigurationNAT规则。 我将以下内容添加到configuration中:
nat (inside,outside) 1 source static SPLIT-ACL-VPN SPLIT-ACL-VPN destination static NETWORK_OBJ_192.168.10.0_24 NETWORK_OBJ_192.168.10.0_24 no-proxy-arp route-lookup 我们现在可以按预期访问networking资源。