ASA и пинг с внутреннего интерфейса

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-18 17:01:39

Ситуация:
Есть ASA 5510. Есть внутренняя сеть 192.168.40.0/24 и удаленная сеть 10.10.30.0/24. 2 сети связанны между собой через Internet. C одной стороны ADSL с другой - хз. Наш ip статический, получаем его через dhcp от прова, удаленный ip - статика - хх.хх.29.38. Настроен IPSEC с preshared key.
В обе стороны трафик ходит отлично, но есть одно но: не получаться пропинговать локальный (192.168.40.243) интерфейс ASA с удаленной сети (к поимеру 10.10.30.1) и невозможно пропинговать удаленную сеть (к примеру 10,10,30,1) с локального интерфейса (192.168.40.243). Всю голову сломал, не пойму в чем проблема.
конфиг:

Код: Выделить всё

ASA Version 8.0(2) 
!
hostname asa5510
domain-name pcb
enable password ******************** encrypted
names
!
interface Ethernet0/0
 description OutSide ADSL PPPoE link
 nameif outside
 security-level 0
 pppoe client vpdn group pppoe-adsl
 ip address pppoe setroute 
!
interface Ethernet0/1
 description GPRS sublan on our side. Connect to 192.168.40.0/24
 nameif gprs
 security-level 50
 ip address 192.168.40.243 255.255.255.0 
!
interface Ethernet0/2
 description DMZ interface. Connect to 10.10.110.0/24
 nameif dmz
 security-level 50
 ip address 10.10.110.1 255.255.255.0 
!
interface Ethernet0/3
 description InSide interface. Connect to 172.16.1.0/24
 nameif inside
 security-level 100
 ip address 172.16.1.254 255.255.255.0 
!
interface Management0/0
 description Management interface. Connect to 192.168.1.0/24 only
 nameif management
 security-level 100
 ip address 192.168.1.1 255.255.255.0 
 management-only
!
passwd *************************** encrypted
ftp mode passive
clock timezone KIEV 2
clock summer-time KIEV recurring last Sun Mar 3:00 last Sun Oct 3:00
dns server-group DefaultDNS
 domain-name pcb
same-security-traffic permit intra-interface
access-list Split_Tunnel_List2 standard permit 10.10.0.0 255.255.0.0 
access-list Split_Tunnel_List2 standard permit 172.16.0.0 255.255.0.0 
access-list DMZ-10.10.10.2 extended permit ip 10.10.100.0 255.255.255.0 host 10.10.10.2 
access-list DMZ-10.10.10.2 extended permit tcp any host 10.10.10.2 eq smtp 
access-list DMZ-10.10.10.2 extended permit tcp any host 10.10.10.2 eq www 
access-list DMZ-10.10.10.2 extended permit udp any host 10.10.10.2 eq domain 
access-list DMZ-10.10.10.2 extended permit ip 10.10.100.0 255.255.255.0 host 10.10.110.2 
access-list DMZ-10.10.10.2 extended permit tcp any host 10.10.110.2 eq smtp 
access-list DMZ-10.10.10.2 extended permit tcp any host 10.10.110.2 eq www 
access-list DMZ-10.10.10.2 extended permit udp any host 10.10.110.2 eq domain 
access-list OUTSIDE-ACCEPT extended permit tcp any interface outside eq www 
access-list OUTSIDE-ACCEPT extended permit udp any interface outside eq domain 
access-list OUTSIDE-ACCEPT extended permit tcp any interface outside eq smtp 
access-list IPS-acl1 extended permit ip any 10.10.10.0 255.255.255.0 
access-list IPS-acl1 extended permit ip any interface outside 
access-list IPS-acl1 extended permit ip any 10.10.110.0 255.255.255.0 
access-list IPS-acl2 extended permit ip 10.10.100.0 255.255.255.0 any 
access-list Split_Tunnel_List standard permit 10.10.0.0 255.255.0.0 
access-list gprsLifeAcl extended permit ip 192.168.40.0 255.255.255.0 10.10.20.0 255.255.255.0 
access-list gprsLifeAcl extended permit ip 10.10.20.0 255.255.255.0 192.168.40.0 255.255.255.0 
access-list gprsKSacl extended permit ip 192.168.40.0 255.255.255.0 10.10.30.0 255.255.255.0 
access-list gprsKSacl extended permit ip 10.10.30.0 255.255.255.0 192.168.40.0 255.255.255.0 
pager lines 57
logging enable
logging asdm warnings
mtu outside 1469
mtu gprs 1500
mtu dmz 1500
mtu inside 1500
mtu management 1500
ip verify reverse-path interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-602.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (dmz) 1 10.10.10.0 255.255.255.0
nat (dmz) 1 10.10.110.0 255.255.255.0
static (dmz,outside) tcp interface smtp 10.10.110.2 smtp netmask 255.255.255.255 
static (dmz,outside) tcp interface www 10.10.110.2 www netmask 255.255.255.255 
static (dmz,outside) udp interface domain 10.10.110.2 domain netmask 255.255.255.255 
access-group OUTSIDE-ACCEPT in interface outside
access-group DMZ-10.10.10.2 out interface dmz
route dmz 10.10.10.0 255.255.255.0 10.10.110.2 1
route inside 172.16.0.0 255.255.0.0 172.16.1.239 1
route inside 192.168.103.0 255.255.255.0 172.16.1.239 1
route inside 192.168.104.0 255.255.255.0 172.16.1.239 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
aaa-server RADIUS protocol radius
aaa-server RADIUS host 172.16.1.10
 key ********************************
 authentication-port 1812
 accounting-port 1813
http server enable
http 172.16.1.0 255.255.255.0 inside
http 172.16.1.137 255.255.255.255 inside
http 192.168.1.0 255.255.255.0 management
http 172.16.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
fragment chain 5 outside
fragment chain 5 dmz
fragment chain 5 inside
fragment chain 1 management
crypto ipsec transform-set FirstSet esp-3des esp-md5-hmac 
crypto ipsec transform-set FirstSet mode transport
crypto ipsec transform-set SecondSet esp-3des esp-sha-hmac 
crypto ipsec transform-set ThirdSet esp-3des esp-sha-hmac 
crypto ipsec transform-set ThirdSet mode transport
crypto ipsec transform-set gprsLifeSet esp-3des esp-md5-hmac 
crypto ipsec transform-set gprsKSset esp-3des esp-md5-hmac 
crypto ipsec df-bit clear-df outside
crypto dynamic-map dyn1 1 set transform-set FirstSet SecondSet ThirdSet
crypto map OutsideMap 20 match address gprsKSacl
crypto map OutsideMap 20 set pfs 
crypto map OutsideMap 20 set peer xx.xx.29.38 
crypto map OutsideMap 20 set transform-set gprsKSset
crypto map OutsideMap 20 set security-association lifetime seconds 86400
crypto map OutsideMap 100 ipsec-isakmp dynamic dyn1
crypto map OutsideMap interface outside
crypto map InsideMap 1 ipsec-isakmp dynamic dyn1
crypto map InsideMap interface inside
crypto isakmp identity address 
crypto isakmp enable outside
crypto isakmp enable inside
crypto isakmp policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 3600
no crypto isakmp nat-traversal
telnet timeout 5
ssh xxx.xxx.xxx.xxx 255.255.255.255 outside
ssh 172.16.254.137 255.255.255.255 outside
ssh 172.16.1.137 255.255.255.255 inside
ssh 172.16.0.0 255.255.0.0 inside
ssh 192.168.1.0 255.255.255.0 management
ssh timeout 60
console timeout 0
vpdn group pppoe-adsl request dialout pppoe
vpdn group pppoe-adsl localname ********************@dsl.ukrtel.net
vpdn group pppoe-adsl ppp authentication pap
vpdn username ******************@dsl.ukrtel.net password **********************
threat-detection basic-threat
threat-detection statistics
!
class-map IPS
 match any
class-map inspection_default
 match default-inspection-traffic
class-map IPS2
 match access-list IPS-acl2
class-map IPS1
 match access-list IPS-acl1
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect icmp 
 class IPS
  ips inline fail-close
!
service-policy global_policy global
ntp server 172.16.1.11
group-policy DefaultRAGroup2 internal
group-policy DefaultRAGroup2 attributes
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Split_Tunnel_List2
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
 vpn-session-timeout none
 vpn-tunnel-protocol IPSec l2tp-ipsec 
 split-tunnel-policy tunnelspecified
 split-tunnel-network-list value Split_Tunnel_List
tunnel-group DefaultL2LGroup ipsec-attributes
 isakmp keepalive threshold 120 retry 5
tunnel-group DefaultRAGroup general-attributes
 authentication-server-group RADIUS
 accounting-server-group RADIUS
 default-group-policy DefaultRAGroup
 password-management
tunnel-group DefaultRAGroup ipsec-attributes
 pre-shared-key ********************
 isakmp keepalive threshold 3600 retry 2
tunnel-group DefaultWEBVPNGroup ipsec-attributes
 isakmp keepalive threshold 120 retry 5
tunnel-group DefaultRAGroup2 type remote-access
tunnel-group DefaultRAGroup2 general-attributes
 authentication-server-group RADIUS
 accounting-server-group RADIUS
 default-group-policy DefaultRAGroup2
 password-management
tunnel-group DefaultRAGroup2 ipsec-attributes
 pre-shared-key ****************
 isakmp keepalive threshold 3600 retry 2
tunnel-group xxx.xxx.xxx.xxx type ipsec-l2l
tunnel-group xxx.xxx.xxx.xxx ipsec-attributes
 pre-shared-key ****************
 isakmp keepalive threshold 3600 retry 2
tunnel-group xx.xx.29.38 type ipsec-l2l
tunnel-group xx.xx.29.38 ipsec-attributes
 pre-shared-key *************
 isakmp keepalive threshold 120 retry 5
prompt hostname context 
Cryptochecksum:6e96e593d75471baacd8ee7252165ef0238d
: end

пакет трэйсер говорит вот что:

Код: Выделить всё

asa5510# packet-tracer input gprs icmp 192.168.40.243 8 0 10.10.30.1 detailed

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0xd50d2c48, priority=500, domain=permit, deny=true
        hits=43, user_data=0x6, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip=192.168.40.243, mask=255.255.255.255, port=0
        dst ip=0.0.0.0, mask=0.0.0.0, port=0

Result:
input-interface: gprs
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-18 17:23:04

а где рвётся то?

Код: Выделить всё

hping -S -T -d 1024 -H tcp -i 1 -d 1024 -m 1500 10.10.30.1 -V -r -y
я думаю, что проблема в этом

Код: Выделить всё

icmp unreachable rate-limit 1 burst-size 1
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-18 17:44:58

такс, по подробней можно... аса для меня - тихий ужас...
zingel писал(а):

Код: Выделить всё

hping -S -T -d 1024 -H tcp -i 1 -d 1024 -m 1500 10.10.30.1 -V -r -y
эт где, на сервере (слакварь 10) внутри сети? если да, то ругается на опцию -S, убираю ее, потом на timestamp type
zingel писал(а):

Код: Выделить всё

icmp unreachable rate-limit 1 burst-size 1
пробовал отключать - результат тот-же :(

настраивал ее не я, так что половину того что там написано я вообще не пойму :oops:
Последний раз редактировалось m0ps 2008-11-18 18:05:48, всего редактировалось 1 раз.

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-18 17:51:05

пинг с внешней (10,10,30,0) сети на 192,168,40,243

Код: Выделить всё

asa5510# debug icmp trace 1
debug icmp trace enabled at level 1
asa5510# ICMP echo request from 10.10.30.1 to 192.168.40.243 ID=768 seq=42753 len=32
ICMP echo reply from xx.xx.118.84 to 10.10.30.1 ID=768 seq=42753 len=32
ICMP echo request from 10.10.30.1 to 192.168.40.243 ID=768 seq=43009 len=32
ICMP echo reply from xx.xx.118.84 to 10.10.30.1 ID=768 seq=43009 len=32
ICMP echo request from 10.10.30.1 to 192.168.40.243 ID=768 seq=43265 len=32
ICMP echo reply from xx.xx.118.84 to 10.10.30.1 ID=768 seq=43265 len=32
пинг в внешней (10,10,30,0) сети на 192,168,40,244

Код: Выделить всё

asa5510# debug icmp trace 1
debug icmp trace enabled at level 1
asa5510# ICMP echo request from outside:10.10.30.1 to gprs:192.168.40.244 ID=768 seq=43521 len=32
ICMP echo reply from gprs:192.168.40.244 to outside:10.10.30.1 ID=768 seq=43521 len=32
ICMP echo request from outside:10.10.30.1 to gprs:192.168.40.244 ID=768 seq=43777 len=32
ICMP echo reply from gprs:192.168.40.244 to outside:10.10.30.1 ID=768 seq=43777 len=32

192,168,40,244 - сервер внутри сети
xx.xx.118.84 - внешний ip нашей сети

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-18 20:28:21

Код: Выделить всё

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
тогда где-то косяк в аццесс-листах.

попробуй для всех их сделать

Код: Выделить всё

extended permit icmp
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-18 21:02:55

я тоже заметил что дропается на аксесс-листе, только вот в них нигде явного запрещения нет, да и с одной сети в другую пинги ходят нормально...
zingel писал(а):попробуй для всех их сделать

Код: Выделить всё

extended permit icmp
на каком интерфейсе?
на outside я пробовал разрешать пинг any any, эффекта ноль :(

у локального интерфейса (gprs) security-level 50, у внешнего - 0. следовательно весть трафик с локального интерфейса на внешний разрешен по дефолту.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-21 9:24:12

Код: Выделить всё

Drop-reason: (acl-drop) Flow is denied by configured rule
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-21 10:05:22

по линку из пм:
там проблема была в nat, у меня же натятся пакеты только из дмз. и нужные мне пакеты в нат они не попадают, что и видно из пакет-трэйсера, а зарезаются на аксесс-листе. притом пинги из одной сети в другую ходят, зарезаются только пинги с/на асу.
проблема в том, что я (ну хоть стреляй меня) не могу найти что именно не так в аксесс-листах :(
или я что-то недопонимаю? :st:

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-21 11:45:59

а если security-level выставить в 0?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-21 14:35:25

на чем? на gprs интерфейсе? ну тогда он будет как внешний, с максимальным уровнем защиты, а он, по сути, является особой частью dmz. пробовали сделать на внешнем security-level 100 (как внутренний/безопасный интерфейс) - все равно не пашет.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-22 20:24:06

а покажи дебагный трейсроут от одной сетки к другой

(traceroute ip)
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-22 23:36:21

в понедельник сделаю и покажу.
так, а пока вспомнилось:
при трэйсроуте из внешней сети в gprs нету хопа с ip равным внешнему (или внутреннему) ip асы. идет хоп ("маршрутизатор провайдера", с которым построен l2l ipsec) в сети провайдера, а следующий - уже внутри нашей сети ("маршрутизатор внутри сети").

схема вообще следующая:

Код: Выделить всё

удаленный комп <--> машрутизатор <--> маршрутизатор провайдера <--> ASA <--> маршрутизатор внутри сети <--> внутренний комп
ip - 1.1.1.1      ip - 10.10.30.x       ip - xx.xx.29.38   ext ip- xx.xx.118.84   ip - 192.168.40.243         ip - 2.2.2.2
                                                           int ip 192.168.40.244
ipsec настроен между "маршрутизатор провайдера" и ASA.
пинги есть везде, кроме как с/на асу из внешней сети / в внешнюю сеть. с локальной сети - все ок.
Последний раз редактировалось m0ps 2008-11-23 1:54:27, всего редактировалось 2 раза.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-23 0:38:04

а свич провайдера что-то знает о товём ipsec? он не натный тот свич?
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-23 1:57:25

2 lissyara
исправил схему, а то отвлекся и не посмотрел что белеберду запостил :oops:
zingel писал(а):а свич провайдера что-то знает о товём ipsec? он не натный тот свич?
какой свич?

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-23 9:04:11

"маршрутизатор провайдера"
Z301171463546 - можно пожертвовать мне денег

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение m0ps » 2008-11-23 10:04:27

zingel писал(а):
"маршрутизатор провайдера"
а, ну конечно... это и пакет-трэйсером можно увидеть.
провайдер - оператор мобильной связи, который предоставляет нам для определенных целей gprs. "машрутизатор " - gprs маршрутизатор (их много), который имеет серый ip и пересылает трафик по внутренней сети провайдера до его маршрутизатора, от которого через интернет настроен ipsec с нашей асой.

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение zingel » 2008-11-24 10:25:01

в общем ясно, что ничего не ясно, в аську стучи, а то мы тут 100 лет ещё будем переписываться
Z301171463546 - можно пожертвовать мне денег

nick_3801
проходил мимо

ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение nick_3801 » 2016-07-19 20:50:57

Я понимаю что автору вопроса скорее всего уже не интересен ответ, но если кто столкнётся с такой же проблемой, знайте
Никогда, никогда АСА не даст пинговать свой интерфейс хосту прилетающему из другого интерфейса той же АСЫ, тоесть для пингов доступен только тот интерфейс асы с которого прилетает запрос.

Например есть интерфейсы inside(100) и dmz(50) с хостов сети инсайт будут доступны все хосты сети dmz, но никогда вы не достучитесь с этой сети до интерфейса dmz. Как то так это должно работать:-)

Надеюсь кому то пригодится

Аватара пользователя
CTOPMbI4
прапорщик
Сообщения: 482
Зарегистрирован: 2008-05-02 20:20:47
Откуда: Made in Russia

ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение CTOPMbI4 » 2016-11-17 10:10:54

Где в про это дело прочитали? бился пока не нашел ваше сообщение.
Это почти неподвижности мука
Мчаться куда то со скоростью звука,
зная преакрасно, что есть уже где то
Некто
Летящий
Со скорости
Света!

lap
лейтенант
Сообщения: 608
Зарегистрирован: 2010-08-13 23:39:29
Откуда: Moscow
Контактная информация:

ASA и пинг с внутреннего интерфейса

Непрочитанное сообщение lap » 2016-11-17 11:32:19

CTOPMbI4 писал(а):Где в про это дело прочитали? бился пока не нашел ваше сообщение.

там какое-то правило есть - типа из большего секурити в меньшее работает роутинг - наоборот только нат. даже если адрес натится сам в себя
Не сломалось - не чини.