AWS 连接 UDP 有效,但 TCP 超时

网络工程 虚拟专用网 aws
2022-02-11 18:39:39

我在这里有一些问题我已经建立了一个从我的位置到 AWS 伦敦的 L2l VPN,我可以看到隧道已经启动但是当我尝试将我们办公室的本地域控制器连接到 AWS 伦敦时,我可以看到 TCP 超时但是UDP 工作。在我的 ACL 上,我没有任何端口限制,所以我不知道为什么 UDP 有效但 TCP 无效。我觉得奇怪的是,当 TCP 尝试连接时,我在日志中看到以下内容:

Jun 05 2019 03:54:10: %ASA-6-302013: Built inbound TCP connection 408579111 for INSIDE:10.16.10.15/65059 (10.190.0.15/65059) to INSIDE:10.20.0.115/88 (10.20.0.115/88)
Jun 05 2019 03:54:10: %ASA-6-302013: Built inbound TCP connection 408579112 for INSIDE:10.190.0.15/65059 (10.190.0.15/65059) to INSIDE:10.20.0.115/88 (10.20.0.115/88)
Jun 05 2019 03:54:10: %ASA-4-419002: Duplicate TCP SYN from INSIDE:10.190.0.15/65059 to INSIDE:10.20.0.115/88 with different initial sequence number
Jun 05 2019 03:54:10: %ASA-4-419002: Duplicate TCP SYN from INSIDE:10.190.0.15/65059 to INSIDE:10.20.0.115/88 with different initial sequence number
Jun 05 2019 03:54:10: %ASA-4-419002: Duplicate TCP SYN from INSIDE:10.190.0.15/65059 to INSIDE:10.20.0.115/88 with different initial sequence number

我看到很多重复的 tcp SYN 消息然后它最终超时。

我的配置如下:

object network dw01
 host 10.16.10.103

object network dw01-NATLDN
 host 10.190.0.103

object network dc03
 host 10.16.10.15

object network dc03-NATLDN
 host 10.190.0.15

object-group network Amazon.LocalLDN
 network-object 10.190.0.0 255.255.255.0

object-group network Amazon-RemoteLDN
 network-object 10.20.0.0 255.255.0.0

access-list OUTSIDE_cryptomap_10 extended permit ip any object-group Amazon-RemoteLDN

access-list amznLDN-filter extended permit ip 10.20.0.0 255.255.0.0 10.190.0.0 255.255.255.0


nat (INSIDE,OUTSIDE) source static dw01 dw01-NATLDN destination static Amazon-RemoteLDN Amazon-RemoteLDN
nat (INSIDE,any) source static network dc03 dc03-NATLDN destination static Amazon-RemoteLDN Amazon-RemoteLDN


crypto ipsec ikev1 transform-set transform-amzn esp-aes esp-sha-hmac

crypto map OUTSIDE_map 15 match address OUTSIDE_cryptomap_10
crypto map OUTSIDE_map 15 set pfs group2
crypto map OUTSIDE_map 15 set peer 52.56.71.96 3.8.226.22 
crypto map OUTSIDE_map 15 set ikev1 transform-set transform-amzn
crypto map OUTSIDE_map 15 set security-association lifetime seconds 3600
crypto map OUTSIDE_map 15 set nat-t-disable

tunnel-group 52.56.71.96 type ipsec-l2l
tunnel-group 52.56.71.96 general-attributes
 default-group-policy Amazon-LDN
tunnel-group 52.56.71.96 ipsec-attributes
 ikev1 pre-shared-key 
 isakmp keepalive threshold 10 retry 10

group-policy Amazon-LDN internal
group-policy Amazon-LDN attributes
 vpn-idle-timeout none
 vpn-session-timeout none
 vpn-filter value amznLDN-filter
 vpn-tunnel-protocol ikev1
1个回答

我知道问题出在哪里,但感谢所有试图提供帮助的人,所以问题出在哪里。我们用于 AWS 的子网是 10.20.0.0/24 现在我正在检查防火墙上的路由,最后注意到了这一点

路线内部 10.0.0.0 255.0.0.0 10.16.169.10 1

所以因为 AWS 子网根据路由落入 10 子网,它会将其扔回交换机接口,这就是为什么我在看到日志时看到 Duplicate SYNC 消息的原因。一旦我们将 AWS IP 地址更改为 10 子网之外,它就可以工作了。再次感谢 Jesse P 的帮助,非常感谢!!!!如果您有任何问题,请告诉我

其它你可能感兴趣的问题
上一篇我的Juniper Router arp不工作,清除MAC后就可以工作了 下一篇如何在 ACE Ipv6 语句中对 3 个主机进行分组