Alex_TTT Опубликовано 26 сентября, 2017 · Жалоба Всем Доброго дня ! Есть asa 5515, задача состоит в том, чтобы просто маршрутизировать несколько сетей без ната и делать инспектирование трафика. схема примерно такая для одной сети адрес клиента 10.0.2.10 — адрес ядра 10.0.2.1 —от ядра к асе 10.0.1.10 - аса IN 10.0.1.1 — аса OUT 10.0.0.2 —Router LAN 10.0.0.254--IP ISP/ я настроил маршрутизацию с асы во внутреннюю сеть, но ни как не могу настроить доступ до роутера и дальше доступ в интернет (на роутере маршрут обратно до сети прописан) Проблема в том что аса дальше внешнего интерфейса не пускает иначе я бы хоть бы пинговал адрес внутреннего интерфеса роутера . Доступ в интернет с асы имеется, пинги до гугла и яндекса есть hostname Firewall domain-name Test.local xlate per-session deny tcp any4 any4 xlate per-session deny tcp any4 any6 xlate per-session deny tcp any6 any4 xlate per-session deny tcp any6 any6 xlate per-session deny udp any4 any4 eq domain xlate per-session deny udp any4 any6 eq domain xlate per-session deny udp any6 any4 eq domain xlate per-session deny udp any6 any6 eq domain names ! interface GigabitEthernet0/0 nameif outside security-level 0 ip address 10.0.0.2 255.255.255.0 ! interface GigabitEthernet0/1 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface GigabitEthernet0/2 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/4 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/5 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif MNGMT security-level 0 ip address 192.168.10.10 255.255.255.0 ! ftp mode passive dns domain-lookup outside dns server-group DefaultDNS name-server 8.8.8.8 domain-name FW.local same-security-traffic permit inter-interface same-security-traffic permit intra-interface access-list INSIDE extended permit ip 10.0.2.0 255.255.255.0 any pager lines 24 mtu MNGMT 1500 mtu outside 1500 mtu inside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-714.bin no asdm history enable arp timeout 14400 no arp permit-nonconnected access-group INSIDE in interface inside route outside 0.0.0.0 0.0.0.0 10.0.0.1 route inside 10.0.2.0 255.255.255.0 10.0.1.10 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication serial console LOCAL http server enable http 0.0.0.0 0.0.0.0 MNGMT no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart crypto ipsec security-association pmtu-aging infinite crypto ca trustpool policy telnet timeout 5 ssh 192.168.10.0 255.255.255.0 MNGMT ssh 10.0.2.0 255.255.255.0 inside ssh timeout 60 ssh key-exchange group dh-group1-sha1 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept username user password password encrypted privilege 15 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect ip-options inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xaool Опубликовано 26 сентября, 2017 · Жалоба Привет. Цитата Проблема в том что аса дальше внешнего интерфейса не пускает иначе я бы хоть бы пинговал адрес внутреннего интерфеса роутера . Включи инспекцию icmp. Нат у тебя происходит на роутере? Там разрешен нат для внутренней сети, где располагается хост? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 26 сентября, 2017 · Жалоба 23 минуты назад, Xaool сказал: Привет. Включи инспекцию icmp. Нат у тебя происходит на роутере? Там разрешен нат для внутренней сети, где располагается хост? Да натит роутер, нет нат пока для этой сетки не включал ..нужно пока хоть до интерфейса достучаться Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Xaool Опубликовано 26 сентября, 2017 (изменено) · Жалоба Ты включил испекцию? Пинги до интерфейса роутера пошли из сети пользовательского хоста? Сделай pacet-tracer int inside tcp 10.0.2.10 1024 8.8.8.8 80 Вывод сюда. Привяжи акцесс лист access-list INSIDE к интерфейсу инсайд через access-group. Хотя она должна сейчас рулится секъюрити левел, но оно тебе все равно нужно будет. Capture test int inside match ip any any Сделай с клиента telnet %inside_router-adress% 22 Вывод sh capture test покажи Изменено 26 сентября, 2017 пользователем Xaool Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_TTT Опубликовано 28 сентября, 2017 · Жалоба В 26.09.2017 в 14:16, Xaool сказал: Ты включил испекцию? Пинги до интерфейса роутера пошли из сети пользовательского хоста? Сделай pacet-tracer int inside tcp 10.0.2.10 1024 8.8.8.8 80 Вывод сюда. Привяжи акцесс лист access-list INSIDE к интерфейсу инсайд через access-group. Хотя она должна сейчас рулится секъюрити левел, но оно тебе все равно нужно будет. Capture test int inside match ip any any Сделай с клиента telnet %inside_router-adress% 22 Вывод sh capture test покажи Спасибо тебе !!! Я разобрался .. дело было в правилах роутера.. Тема данная закрыта! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...