Murad82

Черт)) ключевое слово "no" )), Спасибо тебе!!!

Да у меня еще DNS есть настроенный на внешний ИП, теперь все стало на свои места, все крутиться) Народ, теперь по другой проблеме, подскажите плыз как вытащить из списка shun ИП адрес, в общем я занес его, а вытащить теперь не могу, туплю, справка по shun толком ничего не показывает, прилагаю скрин. В общем этот ИП теперь как в блокировке, с него и шлюз даж не пингуеться.

В общем, я из-за этого я поднял на линуксе DNS сервер, во внутренний сети теперь норм видит портал, а теперь проблемы на внешнем DNS ..... карусель какой то))

Извините, а не подскажете как бы проверить включено или нет "инспектирование протокола DNS", там пишется что при этом условии это только работает.

оув...нужно почитать как будет время) Благодарю!

В общем, на одном из форумов, тож написали что девайс этого "не умеет" ), кажется мне нужно поднимать DNS сервер. Вся это задумка была из-за того, чтоб наши пользователи, которые подключаются к нашему рабочему интернету, не могли заходить на портал(который поднят на одном из серверов, и закреплен на белом ИП), используя другой инет то они могут подключатся к порталу, а вот на работе нет доступа, ибо просто приходиться ставить костыли типа прописи в etc/hosts на каждой рабочей машине. В общем, надо думать про DNS ) Всем вам большое спасибо ребята! Далее лазить по форумам где DNS))

С любого VLANа не пингует, ну а мне надо чтоб мог с MNGMTSW и ad m_lan, остальные мне не важны. Соответственно ad m_lan - 192.168.104.1 и MNGMTSW - 192.168.80.1

Да, это шлюз, и он один забит в cisco, и в реальности один шлюз, он и является, т.е. - 31.173.210.1 31.173.210.2 - это у нас как раз ИП. А если в пакет трейсер шлюз трасирую, то он проходит, но зато пинга на него нет почему то с хоста)

В общем, указанные выше аксес листы добавил, результата не дало( И попробовал пакет трейсер, вроде он говорит что роута нет, гляньте плыз, надеюсь правильно сделал трасировку)

Честно - не знаю)) Подрядчик много чего туда "повтыкал", и я будучи начинающий юзер всякого мусора там поудалял, которого было видно и даже юзеру начинающему. Могу тоже удалить данную строку!? fork, и подскажи плыз, эти строки если я буду поочередно добавлять....то ничего ж не произойдет с теми что там внизу уже существуют? просто помниться где то вычитывал что у cisco(не помню на этой ли модели) что при прописывании правил в аксес листах, то они якобы теряют актуальность что-то в этом роде. Могу я смело прописывать эти строки?

В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа видели/пинговали ип - 31.173.210.2 Лишние записи из конфига убрал(такие как ВПН, серты и т.д.) ASA Version 9.9(2) ! hostname thelocalasa names ip local pool ForVPN 192.168.80.240-192.168.80.253 mask 255.255.255.0 ip local pool PABX 192.168.82.240-192.168.82.250 mask 255.255.255.0 ip local pool avaya 192.168.82.100-192.168.82.150 mask 255.255.255.0 ip local pool ForMNG 192.168.89.235-192.168.89.238 mask 255.255.255.0 ip local pool ForADM 192.168.104.254-192.168.104.255 mask 255.255.255.0 ! interface GigabitEthernet0/0 nameif outside security-level 100 ip address 31.173.210.2 255.255.255.240 ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/2 no nameif no security-level no ip address ! interface GigabitEthernet0/3 description STATE Failover Interface ! interface GigabitEthernet0/4 no nameif no security-level no ip address ! interface GigabitEthernet0/4.3 vlan 3 nameif adm_lan security-level 100 ip address 192.168.104.1 255.255.252.0 ! interface GigabitEthernet0/4.80 vlan 80 nameif MNGMTSW security-level 100 ip address 192.168.80.1 255.255.255.0 ! interface GigabitEthernet0/4.81 vlan 81 nameif MNGMTAPS security-level 100 ip address 192.168.81.1 255.255.255.0 ! interface GigabitEthernet0/4.82 vlan 82 nameif PHONE security-level 100 ip address 192.168.82.1 255.255.255.0 ! interface GigabitEthernet0/4.83 vlan 83 nameif guest_ssid security-level 100 ip address 192.168.112.1 255.255.252.0 ! interface GigabitEthernet0/4.84 vlan 84 nameif PUBLICSID security-level 100 ip address 192.168.108.1 255.255.252.0 ! interface GigabitEthernet0/4.86 vlan 86 nameif room_lan security-level 100 ip address 192.168.100.1 255.255.252.0 ! interface GigabitEthernet0/4.87 vlan 87 nameif AC_CCTV security-level 100 ip address 192.168.87.1 255.255.255.0 ! interface GigabitEthernet0/4.88 vlan 88 nameif DS_TV security-level 100 ip address 192.168.88.1 255.255.255.0 ! interface GigabitEthernet0/4.89 vlan 89 nameif LIFT_LAN security-level 100 ip address 192.168.89.1 255.255.255.0 ! interface GigabitEthernet0/4.90 vlan 90 nameif real_ip security-level 100 ip address 192.168.90.1 255.255.255.0 ! interface GigabitEthernet0/5 description LAN Failover Interface ! interface Management0/0 management-only nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 ! boot system disk0:/asa992-smp-k8.bin ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup outside dns domain-lookup adm_lan dns domain-lookup MNGMTSW dns domain-lookup MNGMTAPS dns domain-lookup PHONE dns domain-lookup guest_ssid dns domain-lookup PUBLICSID dns domain-lookup room_lan dns domain-lookup AC_CCTV dns domain-lookup DS_TV dns domain-lookup LIFT_LAN dns domain-lookup real_ip dns domain-lookup management dns server-group DefaultDNS name-server 83.149.24.243 outside name-server 83.149.24.244 outside same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network mngsw_lan subnet 192.168.80.0 255.255.255.0 object network publicsid_lan subnet 192.168.108.0 255.255.252.0 object network mngmtaps_lan subnet 192.168.81.0 255.255.255.0 object network lift_lan subnet 192.168.89.0 255.255.255.0 object network ssh_to_core host 192.168.80.2 object network room_lan subnet 192.168.100.0 255.255.252.0 object network web_to_core host 192.168.80.2 object network NETWORK_OBJ_192.168.80.192_26 subnet 192.168.80.192 255.255.255.192 object network NETWORK_OBJ_192.168.80.0_24 subnet 192.168.80.0 255.255.255.0 object network ds_tv_lan subnet 192.168.88.0 255.255.255.0 object network adm_lan subnet 192.168.104.0 255.255.252.0 object network NETWORK_OBJ_192.168.80.0_26 subnet 192.168.80.0 255.255.255.192 object network NETWORK_OBJ_192.168.82.248_29 subnet 192.168.82.248 255.255.255.248 object network guest_ssid subnet 192.168.112.0 255.255.252.0 object network NETWORK_OBJ_192.168.82.240_28 subnet 192.168.82.240 255.255.255.240 object network real_ip_lan subnet 192.168.90.0 255.255.255.0 object network lift_disp_pc host 192.168.90.2 object network public_lift_disp_pc host 31.173.210.2 object network real_ip_for_dect host 31.173.210.2 object network NETWORK_OBJ_192.168.82.0_24 subnet 192.168.82.0 255.255.255.0 object network PHONE_lan subnet 192.168.82.0 255.255.255.0 object network proba subnet 192.168.95.0 255.255.255.0 object network NETWORK_OBJ_192.168.80.240_28 subnet 192.168.80.240 255.255.255.240 object network NETWORK_OBJ_192.168.89.232_29 subnet 192.168.89.232 255.255.255.248 object network AC_CCTV subnet 192.168.87.0 255.255.255.0 object network RDP host 192.168.104.11 object service RDPService service tcp destination eq 3389 object service RDPService2 service tcp source eq 3389 object network NETWORK_OBJ_192.168.104.254_31 subnet 192.168.104.254 255.255.255.254 object network Appache host 192.168.104.10 object network Appache_80 host 192.168.104.10 access-list acl_out extended permit icmp any any time-exceeded access-list acl_out extended permit icmp any any unreachable access-list acl_out extended permit tcp any any eq ssh access-list acl_out extended permit tcp any any access-list acl_out extended permit ip any any access-list acl_in extended permit tcp any host 192.168.80.4 eq telnet access-list acl_in extended permit tcp any host 192.168.80.2 eq 232 access-list acl_in extended permit tcp any host 192.168.80.2 eq ssh access-list acl_in extended permit tcp any host 192.168.80.2 eq www access-list acl_in extended permit icmp any any echo access-list global_access extended permit ip any any access-list permit_PBX standard permit 192.168.80.0 255.255.255.0 access-list admlan_to_phone extended permit ip 192.168.104.0 255.255.252.0 192.168.82.0 255.255.255.0 access-list phone_to_admlan extended permit ip 192.168.82.0 255.255.255.0 192.168.104.0 255.255.252.0 access-list outside_access_in extended permit ip any any access-list outside_access_in extended permit object RDPService any object RDP access-list outside_access_in extended permit tcp any object Appache eq www access-list room_lan_access_in extended deny ip 192.168.100.0 255.255.252.0 192.168.104.0 255.255.252.0 access-list room_lan_access_in remark Permit_any_service access-list room_lan_access_in extended permit ip any any access-list AC_CCTV_access_in extended permit ip 192.168.87.0 255.255.255.0 192.168.104.0 255.255.252.0 access-list AC_CCTV_access_in remark Permit_any_service access-list AC_CCTV_access_in extended permit ip any any access-list PermitADM standard permit 192.168.104.0 255.255.252.0 pager lines 24 logging enable logging timestamp logging monitor warnings logging buffered warnings logging trap warnings logging history warnings logging asdm warnings mtu outside 1500 mtu adm_lan 1500 mtu MNGMTSW 1500 mtu MNGMTAPS 1500 mtu PHONE 1500 mtu guest_ssid 1500 mtu PUBLICSID 1500 mtu room_lan 1500 mtu AC_CCTV 1500 mtu DS_TV 1500 mtu LIFT_LAN 1500 mtu real_ip 1500 mtu management 1500 failover failover lan unit secondary failover lan interface FailoverLink GigabitEthernet0/5 failover link STBFailoverLink GigabitEthernet0/3 failover interface ip FailoverLink 192.168.0.1 255.255.255.252 standby 192.168.0.2 failover interface ip STBFailoverLink 192.168.0.5 255.255.255.252 standby 192.168.0.6 no monitor-interface outside no monitor-interface adm_lan no monitor-interface MNGMTSW no monitor-interface MNGMTAPS no monitor-interface PHONE no monitor-interface guest_ssid no monitor-interface PUBLICSID no monitor-interface room_lan no monitor-interface AC_CCTV no monitor-interface DS_TV no monitor-interface LIFT_LAN no monitor-interface real_ip no monitor-interface management icmp unreachable rate-limit 1 burst-size 1 icmp permit any outside icmp permit any real_ip asdm image disk0:/asdm-792-152.bin asdm history enable arp timeout 14400 no arp permit-nonconnected arp rate-limit 8192 nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.0_26 NETWORK_OBJ_192.168.80.0_26 no-proxy-arp route-lookup nat (PHONE,outside) source static any any destination static NETWORK_OBJ_192.168.82.0_24 NETWORK_OBJ_192.168.82.0_24 no-proxy-arp route-lookup nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (LIFT_LAN,outside) source static any any destination static NETWORK_OBJ_192.168.89.232_29 NETWORK_OBJ_192.168.89.232_29 no-proxy-arp route-lookup nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (MNGMTSW,outside) source static NETWORK_OBJ_192.168.80.0_24 NETWORK_OBJ_192.168.80.0_24 destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (adm_lan,outside) source static RDP interface service any RDPService2 nat (adm_lan,outside) source static any any destination static NETWORK_OBJ_192.168.104.254_31 NETWORK_OBJ_192.168.104.254_31 no-proxy-arp route-lookup ! object network mngsw_lan nat (MNGMTSW,outside) dynamic interface object network publicsid_lan nat (PUBLICSID,outside) dynamic interface object network mngmtaps_lan nat (MNGMTAPS,outside) dynamic interface object network lift_lan nat (LIFT_LAN,outside) dynamic interface object network ssh_to_core nat (MNGMTSW,outside) static interface service tcp ssh 55555 object network room_lan nat (room_lan,outside) dynamic interface object network web_to_core nat (MNGMTSW,outside) static interface service tcp www 8090 object network ds_tv_lan nat (DS_TV,outside) dynamic interface object network adm_lan nat (adm_lan,outside) dynamic interface object network guest_ssid nat (guest_ssid,outside) dynamic interface object network PHONE_lan nat (any,outside) dynamic interface object network AC_CCTV nat (any,outside) dynamic interface object network Appache_80 nat (adm_lan,outside) static interface service tcp www www access-group outside_access_in in interface outside access-group room_lan_access_in in interface room_lan access-group AC_CCTV_access_in in interface AC_CCTV route outside 0.0.0.0 0.0.0.0 31.173.210.1 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 timeout igp stale-route 0:01:10 user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication login-history http server enable http server idle-timeout 10 http server session-timeout 10 http 192.168.1.0 255.255.255.0 management http 192.168.80.0 255.255.255.0 MNGMTSW http 192.168.80.0 255.255.255.0 outside http 80.64.105.68 255.255.255.255 outside no snmp-server location no snmp-server contact sla monitor 1 management-access MNGMTSW dhcpd dns 31.173.210.1 8.8.8.8 ! dhcpd address 192.168.104.215-192.168.104.250 adm_lan dhcpd domain TheLocal interface adm_lan dhcpd enable adm_lan ! dhcpd address 192.168.81.5-192.168.81.254 MNGMTAPS ! dhcpd address 192.168.82.25-192.168.82.200 PHONE dhcpd enable PHONE ! dhcpd address 192.168.112.4-192.168.112.250 guest_ssid dhcpd domain guest_ssid interface guest_ssid dhcpd enable guest_ssid ! dhcpd address 192.168.108.4-192.168.108.250 PUBLICSID dhcpd lease 900 interface PUBLICSID dhcpd domain TheLocalPublic interface PUBLICSID dhcpd enable PUBLICSID ! dhcpd address 192.168.100.4-192.168.100.250 room_lan dhcpd domain TheLocal_room interface room_lan dhcpd enable room_lan ! dhcpd address 192.168.88.3-192.168.88.200 DS_TV dhcpd enable DS_TV ! dhcpd address 192.168.89.3-192.168.89.200 LIFT_LAN dhcpd enable LIFT_LAN ! dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management !

CISCO ASA 5512 Добрый день! Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние сети(inside), на outside висит белый ИП, и хосты которые подключены к внутренним сетевушкам(inside) получают инет, пашет. НО! хосты(комп) не могут пинговать тот самый белый ИП - как исправить?? P.S. Если я например использую другого провайдера для инета, с "чужого" инета я могу пинговать тот белый ИП CISCO ASA 5512