Sim, como descobri, fui capaz de testar agora; Eu precisava da palavra-chave "route-lookup" no final das declarações NAT. Obrigado a todos.
ASA1 é 8,4 (2) @ 192.168.1.1, por trás disso é host1 @ 192.168.1.10
ASA2 é 8.4 (3) @ 192.168.2.1, por trás disso é host2 @ 192.168.2.10
O ping do host1 para o host2 funciona, mas não consigo pingar essa interface interna (192.168.2.1) no ASA2 através do túnel do host1. Não tenho certeza de onde começar? Eu quero acessar todos os recursos de gerenciamento sobre a VPN, então eu digitei o seguinte no ASA2;
ssh 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
Mas não consigo fazer ping, conectar via SSH ou conectar via ASDM a ASA2 a partir do host1. O ASA2 já está configurado com management-access inside
para gerenciamento de máquinas locais para ele.
Não creio que exista alguma configuração incorreta de NAT aqui, não deve haver NAT entre sub-redes;
ASA1: nat (Inside,Outside) source static 192.168.1.0/24 192.168.1.0/24 destination static 192.168.2.0/24 192.168.2.0/24
ASA2: nat (Inside,Outside) source static 192.168.2.0/24 192.168.2.0/24 destination static 192.168.1.0/24 192.168.1.0/24
O que posso verificar ou alterar?
UPDATE OK Eu tenho executado uma captura de pacotes em cada ASA e pingado de ASA1 para ASA2 ad vice verso. Por alguma razão, os pings do próprio ASA não estão sendo enviados pelo túnel.
ASA1# show capture testc access-list capture
1428 packets captured
155: 10:55:18.745460 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request
159: 10:55:18.761236 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit
161: 10:55:20.742545 ASA.1.PUBLIC.IP > 192.168.2.1: icmp: echo request
163: 10:55:20.758429 ASA.1.PUBLIC.GATEWAY > ASA.1.PUBLIC.IP: icmp: time exceeded in-transit
Os mesmos resultados são observados no ASA2. Portanto, mesmo que os hosts dessa sub-rede estejam usando a VPN, a interface interna do ASA não é. Você acha que são as regras de NAT acima, eles devem ter "pesquisa de rota" no final?
Já tentou permitir o acesso a ssh e http a partir da interface externa desta sub-rede?
ssh 192.168.1.0 255.255.255.0 outside
http 192.168.1.0 255.255.255.0 outside
Se você verificar o registro na seção de monitoramento ASDM, verá por que o tráfego de gerenciamento está sendo interrompido.