我有两个 IPSEC 隧道，中间有一个 ASA

站点 A - 10.20.4.0 /24 (65.176.80.84)

站点 B - 192.168.142.0 /24

ASA - 10.99.206.0 /24 (95.12.22.33

站点 A - 10.20.4.0 /24 可以成功到达 ASA 和站点 B

ASA 可以成功到达站点 A 和站点 B

站点 B 可以访问 ASA，但无法 ping 站点 A

我一直在从 192.168.142.25 连续 ping 并在 ASA 上看到：

4|2019 年 2 月 28 日 10:01:53|402116：IPSEC：从 35.176.80.84（用户 = 65.176.80.84）到 95.12.22.33 接收到 ESP 数据包（SPI = 0x41AD96C1，序列号 = 0x17BF）。解封装的内部数据包与 SA 中的协商策略不匹配。该数据包指定其目的地为 10.20.4.1，其源为 192.168.142.25，其协议为 icmp。SA 将其本地代理指定为 10.99.206.0/255.255.255.0/ip/0，将其 remote_proxy 指定为 192.168.142.0/255.255.255.0/ip/0。

我查了一下，它把消息描述为 NAT 错误，但没有具体说明。有人可以解释一下这个错误可能是由什么引起的吗？

我附上了以下内容：

站点 A VPN 站点 B VPN Cisco ASA Cisco ASA_shownatdetail

我希望有人能指出我正确的方向。提前致谢。