2011年6月21日 星期二

Cisco ASA5505 site-to-site VPN 設定筆記

以前用過PIX 6.3,ASA 7.0,因為最近有擴點的需求,買了一顆ASA5505 ASA 8.4(1),要用來做site-to-site VPN;這才發現新版本(8.4)有一些改變:
1. NAT的設定方式及其指令
2. IKE多了一個version2的功能

設定過程:
1. 先使用ASDM連上ASA5505, 使用其wizard的site-to-site vpn設定功能, 填入資料再按下一步, 直到完成。
2. 兩個LAN各放一台電腦, 互相ping, 結果不會通。
3. 打開buffered log, 發現一個訊息:Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src Outside xxxxxxxxxxx denied due to NAT reverse path failure.
4. 因此我覺得是NAT的問題,所以找到NAT的設定,發現預設有一條全部轉址的規則;突發奇想,將該規則刪除。結果就通了。
5. 之後再設定任何轉址規則,都會使site-to-site vpn斷線。研究了一下發現是以前版本的NAT 0設定, wizard並沒有幫我們產生!所以自己加入一條NAT Identity, 並加入PAT的設定。
6. site-to-site vpn和NAT轉址功能都正常了。

NAT Identity setting影片展示
張貼留言