Fix can’t ping Inside Interface on Cisco ASA over IPsec VPN

И так , если мы настроили  туннели over IPsec VPN между Cisco ASA ,  трафик шифруется все как бы хорошо но не проходит ping  из inside IP  самой ASA  в inside inside IP  другой  ASA  при этом разрешили хождение ICMP  в ACL

interface GigabitEthernet1/4
description ### Link from WAN
nameif outside
security-level 0
ip address 10.254.254.85 255.255.255.248 standby 10.254.254.86

interface GigabitEthernet1/6
description LAN
nameif inside
security-level 100
ip address 172.16.6.254 255.255.255.0 standby 172.16.6.253

#nat (inside,outside) source static OG_SE OG_SE destination static OG_HE OG_HE

Запускаем отладку :

c5508-asa1# packet-tracer input inside icmp 172.16.6.254 0 0 172.16.3.254

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
nat (inside,outside) source static OG_SE OG_SE destination static OG_HE OG_HE
Additional Information:
NAT divert to egress interface outside
Untranslate 172.16.3.254/0 to 172.16.3.254/0

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

И видим что пакеты дропаются

Для решения данной проблемы достаточно добавить no-proxy-arp route-lookup в NAT опцию и конечном итоге  :

Было

#nat (inside,outside) source static OG_SE OG_SE destination static OG_HE OG_HE

Стало

#nat (inside,outside) source static OG_SE OG_SE destination static OG_HE OG_HE no-proxy-arp route-lookup

Думаю что надо сделать небольшую ремарку относительно NAT опции  no-proxy-arp route-lookup

Так вот если вы используете ASA не в прозначном режиме а в routed firewall и у вас есть правила NAT  для каких то сетей — к примеру как в нашем примере

#nat (inside,outside) source static OG_SE OG_SE destination static OG_HE OG_HE  no-proxy-arp route-lookup

Тогда роутинг именно этих пакетов будет происходить исходя из правил NAT  то есть (inside,outside) а не исходя из вашей таблицы роутинга 

Кстати, надо отметить что  к ассиметричному хождению может приводить правило NAT exception. Если в правиле чётко указаны ingress и egress интерфейсы, то для untranslated пакета egress интерфейс будет выбран в соответствии с правилом NAT, даже если маршрут смотрит на другой интерфейс. Если мы хотим этого избежать, в правиле NAT нужно использовать опцию route-lookup