【Cisco ASA5520 IPSec VPN 故障排错】

lin0131

                      Cisco ASA5520   IPSec VPN 故障排错
        士别五日，我又来啦。大家懂的 ^_^
        江湖中失传已久的项目分享再次来袭~
#########################################################
        2012-02-07,Andersen处收获现网排错任务一枚。
        show version 证明下~~
      
        错误说明如下：
              配了一台ASA，vpn是能看到内网的共享，但是有一个网段一直ping不通。给VPN分IP的是内网的一个接口同网段的，本该能Ping通同一网段的IP主机，可就是ping不通。
        根据配置信息，制作了一张拓扑。
        
        开始找错，本人是个VPN菜鸟。
        原来上课之后都是直接刷脚本了，不过一直记得“安德鲁森”说过，
VPN拨入成功后，还出错不外乎两个原因：
             1.NAT（XXX）0的问题
             2.内网路由没设置
        之前已经提到了，客户使用的是同网段的IP，那第二种情况可以暂时排除了，show run 查看防火墙配置。查看NAT的配置，发现如下：
        
        看来NAT 0 有做，那又是什么原因呢？
        我们先来检查下它的ACL —— nonat 是否有问题~
        给各位看官继续上图：
              
        咋一看，咦？好像木有什么问题
        真的么？你确定？
        嘿嘿，邪恶的隐藏下~

游客，如果您要查看本帖隐藏内容请回复

      
      项目小结：
              1.需要熟练掌握IPSec  VPN的原理（谁让它各种被用，有需求就要有要求）
              2.了解VPN排错思路
                         a.无法拨入    （大部分为前期配置问题）
                         b.可以拨入，内网访问问题     （路由orNAT故障）
                         c.VPN正常但不能访问外网     （隧道分离/远程网关 的设置）
              3.大胆假设，细心求证~
       好了~
       以后会有越来越多的项目机会，要好好把握啊。做完之后，大家不要吝啬一点点时间，分享给大家，算是点滴的积累，也可以一起学习、进步~~



该贴已经同步到 lin0131的微博

薯薯

清GG好邪恶，什么原因来瞧瞧

lin0131

薯薯 发表于 2012-2-7 16:23
清GG好邪恶，什么原因来瞧瞧

太多围观党了~
上一篇都没啥人回~
出绝招~

薯薯

原来如此...以为表里有这条了，VPN接入点应该是X.255.255.0吧，提示明显点撒~

lin0131

薯薯 发表于 2012-2-7 16:29
原来如此...以为表里有这条了，VPN接入点应该是X.255.255.0吧，提示明显点撒~

嘿嘿 接入点IP没写好~   
我把图改改~

薯薯

项目小结：
              1.需要熟练掌握IPSec  VPN的原理（谁让它各种被用，有需求就要有要求）
              2.了解VPN排错思路
                         a.无法拨入    （大部分为前期配置问题）
                         b.可以拨入，内网访问问题     （路由orNAT故障）
                         c.VPN正常但不能访问外网     （隧道分离/远程网关 的设置）

很有用的总结

王晓强

学以致用！
不断积累！
感谢志清的分享！

dalin

清GG， 小弟给你打起来了，不做围观党，从我做起。

lin0131

dalin 发表于 2012-2-7 17:23
清GG， 小弟给你打起来了，不做围观党，从我做起。

多谢~ 小通哥~

lin0131

andersen 发表于 2012-2-7 16:32
学以致用！
不断积累！
感谢志清的分享！

还要感谢Andersen的这次机会呢~