无法通过 VPN 连接到远程网络

网络工程 思科 思科 虚拟专用网
2021-07-21 15:44:20

问题:当我连接到家庭无线网络时,我无法通过 VPN 连接到我们的生产网络。

设置:

互联网
|
家里的ISP路由器
|
Cisco ASA 5505 防火墙
|
Buffalo 无线路由器/防火墙
|
无线连接的设备(iPhone 和笔记本电脑)

  • ASA 5505 上的访客无线。
  • ASA 5505 上的访客无线网络是 172.16.1.0/24。
  • ASA 5505 上的 LAN 网络为 172.16.2.0/24。
  • Buffalo 路由器上的家庭无线网络。
  • Buffalo 上的家庭无线网络是 172.16.3.0/24。

症状:

  • 我连接到 ASA 5505 交换机端口的 PC 可以通过 VPN 连接到我们的生产网络。
  • 连接到 ASA 5505 上的访客无线网络的设备可以通过 VPN 进行连接。
  • 连接到 Buffalo 路由器上的家庭无线设备的设备无法通过 VPN 连接。
  • 所有设备都可以连接到各种互联网站点,即雅虎、谷歌等。

想法?

  • 您是否可以连接到中间有多个 NAT 的远程 VPN 端点?
  • 这是某种NAT问题吗?我将如何验证?
  • 我是否违反了设计最佳实践?
  • 我接下来的故障排除/解决步骤应该是什么?

说明:
- IPSec 连接适用于整个网络。
- PPTP 连接适用于除 Buffalo 无线以外的所有设备。

3个回答

如果 Buffalo 和 5505 都在进行 NAT,那么是的,您绕过了最佳实践。

除非您需要更高级别的安全性,否则我会考虑禁用 Buffalo 的路由功能并将其用作无线 AP(因为这就是我猜测您拥有它的原因)。

这可能就像关闭 Buffalo 上的 DHCP 服务器并将 ASA 插入 Buffalo 上的 LAN 端口而不是 WAN 端口一样简单。

至于为什么您的 VPN 在 Buffalo 后面不起作用,我猜它会阻止 VPN 流量,请确保 Buffalo 启用了“VPN 直通”之类的功能。

这并不是直接回答您的问题,但可能会为您指明正确的方向;

  • 在 Buffalo 无线客户端和生产网络的 VPN 端点之间连接到 Buffalo 设备时,您是否有任何 PMTUD 问题?

  • 您能否验证端到端 MTU 并确保它不会影响即将启动的隧道?

  • 您是否在 Buffalo AP 上配置了 VPN 直通(或类似技术)?

  • 您是否有任何详细的日志可以从您的 VPN 客户端继续告诉您究竟什么问题?

  • 在尝试建立 VPN 时,您能否在连接到 Buffalo 的客户端上执行数据包捕获,然后在连接到 ASA 无线时再次执行数据包捕获以比较差异?

  • 当客户端以无线方式连接到 ASA 并以无线方式连接到 Buffalo 再次建立 VPN 连接时,您还可以在 ASA 上执行数据包捕获,看看有什么不同?

如前所述,双 NAT 是一个坏主意。仅在 AP(新娘模式或类似模式)中使用 Buffalo 无线设备可能是也可能不是您的选择,但这是我推荐的,而不是路由模式。

我做了两件事来使 PPTP 无线客户端工作:
1. 在 Buffalo 上为无线设备添加了静态 NAT。
2. 向 ASA 添加了以下内容:

policy-map global_policy
class inspection_default
inspect pptp

添加静态 NAT 后但在修改 ASA 之前,我在 ASA 日志中看到以下错误:

May 20 2013 06:42:05: %ASA-3-305006: regular translation creation failed for protocol 47 src inside:192.168.1.50 dst outside:(vpn-at-work-IP-address)<br>

我不得不允许 PPTP 检查。

因此,我可以通过 IPSec 和 PPTP 通过 2 个 NAT 进行连接,尽管这显然不是最佳实践,因此我将阅读更多相关内容。

其它你可能感兴趣的问题
上一篇Riverbed Steelhead 是否能够优化打印服务器和远程打印机之间的打印流量? 下一篇Cisco Nexus 9396PX 平台的 sFlow 配置 tcam 问题