购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
8391
查看次数
0
有帮助
5
回复

anyconnect 连接到site-to-site VPN对端问题

查看解答
ssdi
Level 1
Level 1

发布时间 ‎10-25-2015 01:13 AM

思科5525配置了stie-to-site VPN,同时两边也配置的anyconnect,
现在的问题两边的客户端不能访问对端的网段。
访问本端没有问题。
这个有什么特别的配置吗,
盼高手指点,谢谢!
packet-tracer input outside tcp 172.16.1.1 10000 192.168.85.1 3389 detailed
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 192.168.85.0 255.255.255.0 outside
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff9f535500, priority=111, domain=permit, deny=true
hits=5, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0, dscp=0x0
input_ifc=outside, output_ifc=outside
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
标签:
0 有帮助
1 个已接受解答

已接受的解答

查看解答
yanzha4
Spotlight
Spotlight

发布时间 ‎10-25-2015 01:13 AM

asa 连接远程站点接口 抓包查看,anyconnect client 流量是收到没有回复,还是根本没有收到 client 流量等具体情况。
查看ACL 配置,远程站点 ACL 配置等。
建议 收集信息 找 TAC 开case吧。

在原帖中查看解决方案

0 有帮助
5 条回复5

查看解答
yanzha4
Spotlight
Spotlight

发布时间 ‎10-25-2015 01:13 AM

asa 连接远程站点接口 抓包查看,anyconnect client 流量是收到没有回复,还是根本没有收到 client 流量等具体情况。
查看ACL 配置,远程站点 ACL 配置等。
建议 收集信息 找 TAC 开case吧。
0 有帮助

查看解答
baiyunhu75
Level 1
Level 1

发布时间 ‎10-25-2015 11:40 PM

ACL NAT 0 看一下
0 有帮助

查看解答
yanzha4
Spotlight
Spotlight

发布时间 ‎10-26-2015 10:29 PM

你这个问题涉及到的东西挺多。首先你要确认:
/. 配置前 l2l vpn是否能够正常工作
/. 配置了 anyconnect 以后, 2个 vpn都不工作?
/. 还是 anyconnect 好用,但是 l2l 不好用?
/. l2l 你的这个 packet tracer 肯定是drop的; user_data=0x0, 说明没有一个 sa 可以使用,所以流量被drop
/. 你要确认 l2l tunnel 是否状态是 up,第一阶段 和 第二阶段 的状态,哪一个阶段有问题
0 有帮助

查看解答
ssdi
Level 1
Level 1

发布时间 ‎10-27-2015 07:09 AM

现在的情况是L2L正常工作,
anyconnect 正常工作(可以访问总部网络)但访问远程站点就过不去。
两个VPN单独工作都没有问题
ciscoasa(config)# sh vpn-sessiondb anyconnect
Session Type: AnyConnect
Username : ethan Index : 281
Assigned IP : 192.168.79.100 Public IP : 111.74.215.245
ciscoasa(config)# sh crypto isakmp sa
IKEv1 SAs:
Active SA: 1
Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
Total IKE SA: 1
1 IKE Peer: 211.17.125.160
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
0 有帮助

查看解答
yanzha4
Spotlight
Spotlight

发布时间 ‎10-27-2015 09:48 PM

asa 连接远程站点接口 抓包查看,anyconnect client 流量是收到没有回复,还是根本没有收到 client 流量等具体情况。
查看ACL 配置,远程站点 ACL 配置等。
建议 收集信息 找 TAC 开case吧。
0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents