Cisco ASA5505 site-to-site VPN 設定筆記
以前用過PIX 6.3,ASA 7.0,因為最近有擴點的需求,買了一顆ASA5505 ASA 8.4(1),要用來做site-to-site VPN;這才發現新版本(8.4)有一些改變: 1. NAT的設定方式及其指令 2. IKE多了一個version2的功能 設定過程: 1. 先使用ASDM連上ASA5505, 使用其wizard的site-to-site vpn設定功能, 填入資料再按下一步, 直到完成。 2. 兩個LAN各放一台電腦, 互相ping, 結果不會通。 3. 打開buffered log, 發現一個訊息:Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src Outside xxxxxxxxxxx denied due to NAT reverse path failure. 4. 因此我覺得是NAT的問題,所以找到NAT的設定,發現預設有一條全部轉址的規則;突發奇想,將該規則刪除。結果就通了。 5. 之後再設定任何轉址規則,都會使site-to-site vpn斷線。研究了一下發現是以前版本的NAT 0設定, wizard並沒有幫我們產生!所以自己加入一條NAT Identity, 並加入PAT的設定。 6. site-to-site vpn和NAT轉址功能都正常了。 NAT Identity setting影片展示