取消
显示结果 
搜索替代 
您的意思是: 
cancel
7233
查看次数
0
有帮助
7
回复

求问ASA 5506 IPSEC VPN的一个原理

httpurl
Level 1
Level 1
是这样H3C与ASA 5506 互建IPSEC VPAN 建立也成功 H3C 192.168.116.0/24 内网 网关192.168.116.1 在H3C上
cisco asa 5506 192.168.1.0/24内网 网关192.168.1.1 在cisco防火墙上
现在已经实现内网通信 VPN也正常
现在状态:
cisco内部电脑也能ping通192.168.116.0段内部电脑 192.168.116.1网关也能ping通
H3C内部电脑也能ping通192.168.1.0段内部电脑 192.168.1.1网关却不能ping通
第一个问题:查找资料等 说是CISCO 认为VPN数据是低安全级别 内网口网关是高安全级别 默认不通
求问这个可以怎么解决 有人说运行 management-access inside 我测试了没用
(我测试其他路由器是可以ping通的)
然后我测试发现 在H3C 5006上 就是路由器上ping不通 192.168.1.0段任何地址 包括192.168.1.1网关
cisco防火墙上测试也是ping不通192.168.116.0段任何地址 包括192.168.116.1网关
第二个问题:为什么网关自己ping不通对方内网地址 这是什么原理 求解
1 个已接受解答

已接受的解答

jingjian
Spotlight
Spotlight
1,假如网关在防火墙上是不能ping通的,因为流量只能穿越防火墙,或者到达防火墙的直连端口,这是防火墙的安全机制,没办法解决
2,ping默认情况从外部端口出,因为没有匹配感兴趣流,所以流量没有进入VPN隧道,也没有被加密,所以无法达到对方,因此不通,可以指定内网接口ping就通了

在原帖中查看解决方案

7 条回复7

jingjian
Spotlight
Spotlight
1,假如网关在防火墙上是不能ping通的,因为流量只能穿越防火墙,或者到达防火墙的直连端口,这是防火墙的安全机制,没办法解决
2,ping默认情况从外部端口出,因为没有匹配感兴趣流,所以流量没有进入VPN隧道,也没有被加密,所以无法达到对方,因此不通,可以指定内网接口ping就通了

httpurl
Level 1
Level 1
求解啊 ........

gcq
Level 1
Level 1
看样子是2个问题:
1、ping不同思科192.168.1.1:可能因为思科防火墙接口的ping默认只接受来自这个接口下的ping流量。其他接口来的ping访问不被允许,需要访问控制列表放行。
2、互相ping不同对方内网的网关。ping的时候用的是出接口IP地址(外网出接口),不是内网网关(内网接口)地址,所以这个流量不会走IPSEC,直接走公网,自然互相就不同了。带上原地址去ping,如果不同,就跟第一个原因一样。

gcq
Level 1
Level 1
看样子是2个问题:
1、ping不同思科192.168.1.1:可能因为思科防火墙接口的ping默认只接受来自这个接口下的ping流量。其他接口来的ping访问不被允许,需要访问控制列表放行。
2、互相ping不同对方内网的网关。ping的时候用的是出接口IP地址(外网出接口),不是内网网关(内网接口)地址,所以这个流量不会走IPSEC,直接走公网,自然互相就不同了。带上原地址去ping,如果不同,就跟第一个原因一样。

httpurl
Level 1
Level 1
gcq 发表于 2017-9-18 10:41
看样子是2个问题:
1、ping不同思科192.168.1.1:可能因为思科防火墙接口的ping默认只接受来自这个接口下 ...

第一个问题 我在OUT 与in 口全部做ACL开放了ping 但是还是没办法ping
第二个问题 大概知道说明意思了 谢谢

jingjian
Spotlight
Spotlight
httpurl 发表于 2017-9-19 08:36
第一个问题 我在OUT 与in 口全部做ACL开放了ping 但是还是没办法ping
第二个问题 大概知道说明 ...

第一个问题,安全策略不允许这样的流量,因为防火墙是状态化监控,流量必须穿越防火墙,或者达到防火墙的直连接口。例如,你只能ping防火墙的直连接口,但是不能除直连接口之外的接口

httpurl
Level 1
Level 1
谢谢了 懂了
快捷链接