已解决: 回复： ASA防火墙ipsec问题

wangzhifu60088 · ‎08-01-2021

各位大佬好：

我这边一个奇怪的现象：我的SSL VPN地址 local pool 10.168.244.0 在总部

我与分公司的ipsec兴趣流为：10.168.0.0 /16 对端 10.235.0.0/16 ，隧道正常，内网之间可以访问，但是当我在公司外拨vpn时，无法访问对端10.235.0.0的网络，10.168的其他地址正常，但是vpn 端 10.168.244.0的却不行，但是我用分公司的10.235段地址可以ping通我的vpn地址，请哪位大佬指导下，没碰到过这个问题呢

另：我司总部两条外网，用另一条做ipsec 对接，ssl vpn则可正常访问10.235段

ilay · ‎08-03-2021

拿模拟器跑了一下实验，两个图，

第一个是anyconnect vpn和 ipsecvpn使用不同的internet接口，各种流量访问没有问题。

第二个是anyconnect vpn和 ipsecvpn使用同一个internet接口，总部到分支的流量正常，anyconnect到总部正常，anyconnect vpn到 remote 彼此不通，添加了“same-security-traffic permit intra-interface ”的配置，所有流量都恢复正常。

看你的问题表述中有一个remote到 anyconnect单通的情况，这个点有点问题，方便的话结合拓扑和必要的配置说明一下，还有一种可能是接口acl的限制，可以检查一下相关配置

//实验中asa仅配置了相应的zone，没有配置任何显式的acl，无NAT配置，如果你的环境中有相应的配置的话，最好也提现出来

ilay

**如果该回答解决了您的问题，请标记已解决**

在原帖中查看解决方案

ilay · ‎08-03-2021

拿模拟器跑了一下实验，两个图，

第一个是anyconnect vpn和 ipsecvpn使用不同的internet接口，各种流量访问没有问题。

第二个是anyconnect vpn和 ipsecvpn使用同一个internet接口，总部到分支的流量正常，anyconnect到总部正常，anyconnect vpn到 remote 彼此不通，添加了“same-security-traffic permit intra-interface ”的配置，所有流量都恢复正常。

看你的问题表述中有一个remote到 anyconnect单通的情况，这个点有点问题，方便的话结合拓扑和必要的配置说明一下，还有一种可能是接口acl的限制，可以检查一下相关配置

//实验中asa仅配置了相应的zone，没有配置任何显式的acl，无NAT配置，如果你的环境中有相应的配置的话，最好也提现出来

ilay

**如果该回答解决了您的问题，请标记已解决**

wangzhifu60088 · ‎08-03-2021

感谢回复，因为trace的话发现 vpn段流量没有进隧道，直接去公网了，所以我最后加了一条nat 好了就是 nat (internet,internet) source static anyconnect anyconnect destination static remote-traffic remote-traffic no-proxy-arp route-lookup, 但是奇怪的是我另一条外网没问题，可能是我的anyconnect nat 设置问题

ilay · ‎08-03-2021

应该是的，NAT豁免是需要考虑的问题，你的设备上之前应该已经有了anyconnect 到你内部地址的nat豁免配置，使用另一条外网的时候走的从

internet进到inside，然后再过ipsec，此时地址不会被转换，正常走vpn的隧道。。有问题的一条的话是从internet->internet ，需要再加一个nat豁免配置才能正常。

wangzhifu60088 · ‎08-03-2021

你那有这个版本模拟器吗能发给我一下吗？我现在对防火墙还不太熟悉，我的邮箱 814679010@qq.com ,方便的话还有其他问题请教一下

wangzhifu60088 · ‎08-03-2021

你那有这个版本模拟器吗能发给我一下吗？我现在对防火墙还不太熟悉，我的vx 一三八一一七五七二零八 ,方便的话还有其他问题请教一下