关于ASA5510 vpn 的一点问题

王晓强

hui8821637 发表于 2011-4-6 16:16
不好意思各位帮忙的兄弟们   
问题是这样的。我现在做的是remote vpn  几个分部的人上网拨这个VPN
其中一 ...

看来只能看看配置和环境了，如果和配置无关，就是升级重启和换设备了~

Power

嗯。需要更详细的信息，如:关键配置，拨入后主机和ASA上的路由表、ping。

Power

IOS是什么版本?有可能像JEFF说的，版本需要升级，建议去官方查阅IOS  。

hui8821637

我觉得很可能是IOS版本太低了。
也有可能是电信这边有限制。
暂时还没动作 我求一个CCIE帮我看了 还没消息。
回9L route里边有到这个主机的route。

hui8821637

终于知道答案了。是关于IPsec穿透NAT的问题。
在建立IPsec通道时，如果通道路径上有NAT设备也不会影响第一阶段的IKE SA的协商和第二阶段IPSec SA的协商，因为通常将IKE的数据包封装在UDP数据包中，
但是，在完成第二阶段协商后， IPsec数据包上的NAT会导致通道失败，（也就是说IPsec的通道可以建立，但是真正的User的数据无法传输）
用了ipsec over tcp
但是我还是很纠结 。

布凡

回复 15 # hui8821637 的帖子

嗯感谢LZ  糟糕的记性
默认 ROU IOS开启的
ASA 忘记了
NAT-T4500  UDP和 TCP 10000CISCO 私有的