基于VPN的Ping Cisco ASA

Question

ASA1是8.4(2) @ 192.168.1.1，后面是host1 @ 192.168.1.10

ASA2是8.4(3) @ 192.168.2.1，后面是host2 @ 192.168.2.10

Pinging host1 to host2工作，但我不能在从host1到host1的隧道上在ASA2上平移这个内部接口(192.168.2.1)。我不确定从哪里开始？我想访问虚拟专用网上的所有管理功能，所以我在ASA2上输入了以下内容；

ssh 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside

但是我不能通过SSH连接，也不能通过ASDM从ASA2连接到host1。ASA2已经配置了management-access inside，用于从本地机器到它的管理。

我认为这里没有任何不正确的NAT配置，子网之间应该没有NAT；

ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24

ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24

我能查到什么或者换什么？

更新，好，我已经运行了一个包捕获每个ASA和点击从ASA1到ASA2广告的反面。出于某种原因，ASA的“他们自己”中的ping没有被送到隧道上。

ASA1# show capture testc access-list capture

1428 packets captured

 155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
 159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 
 161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request 
 163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit 

在ASA2上也观察到了同样的结果。因此，即使内部子网上的主机正在使用VPN，ASA的内部接口却不是。你认为上面的NAT规则，应该在最后有“路由查找”吗？

Answer 1

是的，正如我所发现的，我现在已经能够测试；我需要NAT语句末尾的“路由查找”关键字。谢谢大家。

Answer 2

您是否尝试过允许从这个子网的外部接口访问ssh和http？

ssh 192.168.1.0 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 outside

如果您在ASDM监视部分中检查日志记录，您应该会了解为什么要停止管理通信量。