背景故事：我有一个站点到站点 VPN，从带有 9.x 固件的 ASA 到带有 8.2 固件的远程 ASA（不由我管理）。我们在很久以前就启动并运行了隧道，我最终不得不专门为 ICMP 添加一个 ACL。

该问题：另一端提供的AnyConnect SSL VPN连接，并连接到SSL VPN需要访问我的站点到站点VPN的最终用户，所以我添加到现有的子网。

该错误：从10.10.10.5目的地运行数据包追踪：192.168.99.5我得到：

VPN: Type -
VPN
Subtype -
encrypt
Action -
DROP

结果：数据包被丢弃信息：（acl-drop）流被配置的规则拒绝

网络信息：

• 我的网站=10.10.10.0/24
• 其他站点=10.1.0.0/16
• SSL VPN=192.168.99.0/24

我所做的更改（添加）：

access-list VPN_ACCESS extended permit icmp 10.10.10.0 255.255.255.0 192.168.99.0 255.255.255.0
access-list VPN_ACCESS extended permit ip 10.10.10.0 255.255.255.0 192.168.99.0 255.255.255.0

并基于此规则：

nat (inside,outside) source static LocalLAN LocalLAN destination static DM_INLINE_NETWORK_3 DM_INLINE_NETWORK_3

我还补充道：

object-group network DM_INLINE_NETWORK_3 network-object object REMOTESSLVPN

object network REMOTESSLVPN  subnet 192.168.99.0 255.255.255.0

......

那么，我是疯了，还是不应该这样做？我可能会错过什么？我记得sub 8.2和>8.3固件之间的初始设置很麻烦，但这应该很简单。有没有人有任何见解？

编辑：这是来自 cli 的详细数据包跟踪：

(config)# packet-tracer input inside tcp 10.10.10.0 80 192.168.99.0 $

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static LocalLAN LocalLAN destination static > > DM_INLINE_NETWORK_3 DM_INLINE_NETWORK_3
Additional Information:
NAT divert to egress interface outside
Untranslate 192.168.99.0/80 to 192.168.99.0/80

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (sp-security-failed) Slowpath security checks failed