양단의 IPSec이 Phase-2까지 Completed 되었으나 실제 local IP간 icmp가 실패하는 문제가 발생하였다.
이유를 확인하기 위해 Cisco ASDM의 Monitoring에서 해당ip로 Logging을 잡아보면, 아래와 같은 NAT 이슈가 발생하고 있다.
현상
5 Apr 28 2020 11:04:18 305013 10.10.0.214 20.20.20.50
Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src outside:10.10.0.214 dst AWS:20.20.20.50 (type 8, code 0) denied due to NAT reverse path failure
설명 및 해결방법
10.10.0.214 -> 20.20.20.50 connection에 대해 잘못된 NAT rule이 적용되어(동일하게 사용하는 existing pool이 또 있다는 것임), NAT reverse path failure로 인해 connection이 deny 되고있었다.
이는 해당 VPN Group의 NAT Exempt 설정을 dst쪽 network로 설정해주면 된다.
설정
Configuration > Site-to-Site VPN > Connection Profiles > 해당 Connection profile name 클릭 > Basic > NAT exempt > Exempt ASA side host/network from address translation 에서 dst쪽 inteface 선택.
이후 해당 vpn profile은 NAT Exemption이 되므로 connection은 정상연결 완료된다.
* NAT Exempt: This allows you to exempt the local network addresses from network translation.