通过VPN Ping思科ASA

ASA1是8.4（2）@ 192.168.1.1，在这之后是host1 @ 192.168.1.10

ASA2是8.4（3）@ 192.168.2.1，在这之后是host2 @ 192.168.2.10

从主机1到主机2的ping工作正常，但是我无法在ASA2上的接口（192.168.2.1）内通过主机1的通道ping通。 我不确定从哪里开始？ 我想通过VPN访问所有pipe理function，所以我在ASA2上input了以下内容：

ssh 192.168.1.0 255.255.255.0 inside http 192.168.1.0 255.255.255.0 inside 

但是我无法ping，通过SSH连接，或者通过ASDM连接到host1的ASA2。 ASA2已经configuration了management-access inside用于pipe理本地机器。

• 我可以从上传到思科ASA 5500的文件运行命令吗？
• 采用dynamicIP的思科ASA Hairpinning
• ASA5520 7.2到8.x升级
• configurationCisco ASA使用MS-CHAP v2进行RADIUS身份validation
• 思科ASA – inside_access_in和inside_access_out之间的区别？

我不认为在这里有任何不正确的NATconfiguration，子网之间应该没有NAT;

 ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24 ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24 

我可以检查或更改什么？

更新 OK我已经在每个ASA上运行一个数据包捕获，并从ASA1到ASA2进行捕获。 由于某种原因，来自ASA的ping不能通过隧道发送。

 ASA1# show capture testc access-list capture 1428 packets captured 155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 

在ASA2上观察到相同的结果。 因此，即使在子网内的主机使用VPN，ASA的内部接口也不是。 你认为上面的NAT规则是否应该有“路由查找”的function？

 ssh 192.168.1.0 255.255.255.0 outside http 192.168.1.0 255.255.255.0 outside