1. 문제현상
Cisco Remote Access VPN으로 연동되는 remote client - remote server간 ping은 성공되지만 ssh 접속 불가
2. 문제 로그
Dec 06 2017 12:57:16: %ASA-6-305011: Built dynamic TCP translation from inside:10.71.123.151/57475 to outside:192.40.147.229/24073
Dec 06 2017 12:57:16: %ASA-6-106015: Deny TCP (no connection) from 10.71.123.151/57475 to 23.74.76.94/443 flags ACK on interface inside
Dec 06 2017 12:57:28: %ASA-6-106100: access-list inside_acl permitted tcp inside/10.71.123.151(57517) -> outside/23.49.100.174(80) hit-cnt 1 first hit [0x3cf7b301, 0x0]
Dec 06 2017 12:57:28: %ASA-6-305011: Built dynamic TCP translation from inside:10.71.123.151/57517 to outside:192.41.148.241/63165
Dec 06 2017 12:57:28: %ASA-6-106015: Deny TCP (no connection) from 10.71.123.151/57517 to 23.49.100.174/80 flags ACK on interface inside
3. 문제 원인 및 해결
"Deny TCP (no connection) from" is a expected behavior when packet faces asymmetric routing or different firewall context.
Cisco community의 위 답변에 따르면 해당 로그는 라우팅 또는 firewall 문제이지만, 본인의 경우 ping은 되었으므로 라우팅은 문제 없음. NAT/Firewall 확인 필요.
해당 client - server의 specific대역에 대한 Static NAT 설정 후 ssh 접속 가능함을 확인.
+ 그래도 안 될 경우에는 vpn 내부 문제일 수도 있다. 그럴 땐 CLI에서 'clear conn'를 해주면 된다.