服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Cisco ASA5505 VPN远程访问用户无法连接到其他站点到站点子网
Intereting Posts
configurationApache2.2为http httpsencryption器/转换器 如何安装虚拟磁盘,不能被连接到任何虚拟机看到 我怎样才能修复与gluster自我愈合目录总大小 在孤立networking上使用DHCP的多宿主计算机 使用winrm和Microsoft.Update.Session远程修补服务器时出现问题 在IIS7中的随机超时 SSHlogin不需要重新检查所有的公钥 有log4net模式格式日志查看器? 把更多的cpu用法分配给apache和模块 如何在Windows Server 2003/2008上安装Informix ODBC? Windows应用程序群集 Windows Server 2003监控软件,将SQL Server监控与CPU-IO统计相结合 Cisco ASA 5505和Sonicwall SOHO3之间的VPN vSphere客户端无法连接到ESXi 5.5。 连接超时 通过远程桌面在Windows Server 2003上解锁文件,无需重新启动

Cisco ASA5505 VPN远程访问用户无法连接到其他站点到站点子网

我使用L2TP VPN连接到从家到总部的ASA5505。

然后,总部通过站点到站点IPSEC隧道连接到其他办公室。

当在总部(192.168.100.0/24)时,我可以ping /访问远程办公室(192.168.200.0/24)OK。

当远程连接到总部时,我可以从road-warrior笔记本电脑上ping /访问总部。

我的问题是,当从家中远程连接到总部时,我无法ping /访问其他办公室子网

在家用笔记本电脑上,L2TP VPN连接被设置为使用HQ作为互联网网关将所有stream量路由到VPN连接,我可以证实这一点。

我不能做traceroute(我得到超时),因为我的政策不允许,不知道如何在ASA上正确启用它。

任何想法是什么错,configuration如下: 

names name 192.168.200.0 othersite ! interface Vlan1 nameif inside security-level 100 ip address 192.168.100.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address 34.35.36.3 255.255.255.252 ! same-security-traffic permit intra-interface access-list inside_nat0_outbound extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0 access-list inside_nat0_outbound extended permit ip any 192.168.100.0 255.255.255.0 access-list outside_1_cryptomap extended permit ip 192.168.100.0 255.255.255.0 othersite 255.255.255.0 access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.100.0 255.255.255.0 access-list outside_in_acl extended permit icmp any any echo-reply access-list outside_in_acl extended permit tcp any interface outside eq smtp ip local pool VPNLAN 192.168.100.210-192.168.100.240 mask 255.255.255.0 global (outside) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 192.168.100.0 255.255.255.0 nat (outside) 1 192.168.100.0 255.255.255.0 static (inside,outside) tcp interface smtp 192.168.100.3 smtp netmask 255.255.255.255 access-group outside_in_acl in interface outside group-policy DefaultRAGroup internal group-policy DefaultRAGroup attributes dns-server value 192.168.100.3 vpn-tunnel-protocol l2tp-ipsec split-tunnel-policy tunnelspecified split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl_1 tunnel-group DefaultRAGroup general-attributes address-pool VPNLAN default-group-policy DefaultRAGroup tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key ***** tunnel-group DefaultRAGroup ppp-attributes no authentication chap authentication ms-chap-v2 tunnel-group 40.35.36.122 type ipsec-l2l tunnel-group 40.35.36.122 ipsec-attributes pre-shared-key *****

您的拆分隧道ACL应该包含其他站点的IP地址,因为该stream量应该由客户端通过VPN发送。 

 access-list DefaultRAGroup_splitTunnelAcl_1 standard permit 192.168.200.0 255.255.255.0

configuration看起来不错,否则。 如果这样做没有帮助,那么请打开ASA上的日志logging,查看当您尝试发送stream量时出现的情况。