Korvet_068 Опубликовано 5 сентября, 2019 · Жалоба Доброго дня. Имею IPSec-туннель между ASA 5508 и маршрутизатором Cisco 7200. На ASA заведено два интернет-канала с белыми адресами. В ASA сделан IP SLA, который мониторит живость интернет канала и переводит ASA на работу по резервному каналу в случае падения первого. Можно ли сделать на ASA перенос IPSec-туннеля на работу через резервного провайдера при падении основного? На маршрутизаторе-соседе это делается допиской в crypto map нового адреса соседа. А на ASA как это сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 5 сентября, 2019 · Жалоба для ASA это тривиальный конфиг crypto map NAME 1 set peer A1.A2.A3.A4 B1.B2.B3.B4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 5 сентября, 2019 (изменено) · Жалоба На ASA вижу вот такую строку конфига: crypto map outside_map interface outside А если интерфейс outside в дауне? Как крипто-мапу перемахнуть на другой интерфейс, смотрящий на резервный аплинк? Моя задача - сделать так чтобы ASA всегда строила туннель с удалённым роутером, роутер не падает, а вот АСА иногда может переключиться на запасной аплинк. Изменено 5 сентября, 2019 пользователем Korvet_068 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 5 сентября, 2019 · Жалоба 34 минуты назад, Korvet_068 сказал: crypto map outside_map interface outside это просто прикручивание крипто-мап к нужному интерфейсу. скажем так, указание асе что шифровать. да и не стоит забывать, что на интерфейс можно повесить только одну крипто-мап. если надо больше, то в существующей крипто-мапе надо увеличивать сиквенс намбер. crypto map outside_map 16 match address outside_16_cryptomap crypto map outside_map 16 set pfs group14 crypto map outside_map 16 set peer 2.1.4.18 crypto map outside_map 16 set ikev2 ipsec-proposal ESP-AES256-SHA512 crypto map outside_map 16 set security-association lifetime seconds 3600 crypto map outside_map 16 set security-association lifetime kilobytes 4608000 crypto map outside_map 20 match address outside_20_cryptomap crypto map outside_map 20 set pfs group14 crypto map outside_map 20 set peer 3.6.48.10 crypto map outside_map 20 set ikev2 ipsec-proposal ESP-AES256-SHA512 crypto map outside_map 20 set security-association lifetime seconds 3600 crypto map outside_map 20 set security-association lifetime kilobytes 4608000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Korvet_068 Опубликовано 6 сентября, 2019 · Жалоба То есть при переключении АСЫ на новый маршрут по умолчанию, достаточно просто перенести крипто-мапу на интерфейс, смотрящий в резервный аплинк? Через визард заранее создать криптомапу для привязки её к резервному аплинку нельзя, идёт ругань на то что vpn с таким IP соседа уже есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 6 сентября, 2019 · Жалоба если собираетесь подключаться к одному и тому же удаленному peer, зачем вам еще один крипто-мап? используйте crypto map outside_peer interface outside1 crypto map outside_peer interface outside2 crypto isakmp enable outside1 crypto isakmp enable outside2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 25 января, 2020 · Жалоба CISCO ASA 5512 Добрый день! Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние сети(inside), на outside висит белый ИП, и хосты которые подключены к внутренним сетевушкам(inside) получают инет, пашет. НО! хосты(комп) не могут пинговать тот самый белый ИП - как исправить?? P.S. Если я например использую другого провайдера для инета, с "чужого" инета я могу пинговать тот белый ИП CISCO ASA 5512 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 25 января, 2020 · Жалоба выложи сюда конфиг, посмотрим - может icmp закрыт изнутри, а может acl не тот, может роута нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 26 января, 2020 · Жалоба В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа видели/пинговали ип - 31.173.210.2 Лишние записи из конфига убрал(такие как ВПН, серты и т.д.) ASA Version 9.9(2) ! hostname thelocalasa names ip local pool ForVPN 192.168.80.240-192.168.80.253 mask 255.255.255.0 ip local pool PABX 192.168.82.240-192.168.82.250 mask 255.255.255.0 ip local pool avaya 192.168.82.100-192.168.82.150 mask 255.255.255.0 ip local pool ForMNG 192.168.89.235-192.168.89.238 mask 255.255.255.0 ip local pool ForADM 192.168.104.254-192.168.104.255 mask 255.255.255.0 ! interface GigabitEthernet0/0 nameif outside security-level 100 ip address 31.173.210.2 255.255.255.240 ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/2 no nameif no security-level no ip address ! interface GigabitEthernet0/3 description STATE Failover Interface ! interface GigabitEthernet0/4 no nameif no security-level no ip address ! interface GigabitEthernet0/4.3 vlan 3 nameif adm_lan security-level 100 ip address 192.168.104.1 255.255.252.0 ! interface GigabitEthernet0/4.80 vlan 80 nameif MNGMTSW security-level 100 ip address 192.168.80.1 255.255.255.0 ! interface GigabitEthernet0/4.81 vlan 81 nameif MNGMTAPS security-level 100 ip address 192.168.81.1 255.255.255.0 ! interface GigabitEthernet0/4.82 vlan 82 nameif PHONE security-level 100 ip address 192.168.82.1 255.255.255.0 ! interface GigabitEthernet0/4.83 vlan 83 nameif guest_ssid security-level 100 ip address 192.168.112.1 255.255.252.0 ! interface GigabitEthernet0/4.84 vlan 84 nameif PUBLICSID security-level 100 ip address 192.168.108.1 255.255.252.0 ! interface GigabitEthernet0/4.86 vlan 86 nameif room_lan security-level 100 ip address 192.168.100.1 255.255.252.0 ! interface GigabitEthernet0/4.87 vlan 87 nameif AC_CCTV security-level 100 ip address 192.168.87.1 255.255.255.0 ! interface GigabitEthernet0/4.88 vlan 88 nameif DS_TV security-level 100 ip address 192.168.88.1 255.255.255.0 ! interface GigabitEthernet0/4.89 vlan 89 nameif LIFT_LAN security-level 100 ip address 192.168.89.1 255.255.255.0 ! interface GigabitEthernet0/4.90 vlan 90 nameif real_ip security-level 100 ip address 192.168.90.1 255.255.255.0 ! interface GigabitEthernet0/5 description LAN Failover Interface ! interface Management0/0 management-only nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 ! boot system disk0:/asa992-smp-k8.bin ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup outside dns domain-lookup adm_lan dns domain-lookup MNGMTSW dns domain-lookup MNGMTAPS dns domain-lookup PHONE dns domain-lookup guest_ssid dns domain-lookup PUBLICSID dns domain-lookup room_lan dns domain-lookup AC_CCTV dns domain-lookup DS_TV dns domain-lookup LIFT_LAN dns domain-lookup real_ip dns domain-lookup management dns server-group DefaultDNS name-server 83.149.24.243 outside name-server 83.149.24.244 outside same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network mngsw_lan subnet 192.168.80.0 255.255.255.0 object network publicsid_lan subnet 192.168.108.0 255.255.252.0 object network mngmtaps_lan subnet 192.168.81.0 255.255.255.0 object network lift_lan subnet 192.168.89.0 255.255.255.0 object network ssh_to_core host 192.168.80.2 object network room_lan subnet 192.168.100.0 255.255.252.0 object network web_to_core host 192.168.80.2 object network NETWORK_OBJ_192.168.80.192_26 subnet 192.168.80.192 255.255.255.192 object network NETWORK_OBJ_192.168.80.0_24 subnet 192.168.80.0 255.255.255.0 object network ds_tv_lan subnet 192.168.88.0 255.255.255.0 object network adm_lan subnet 192.168.104.0 255.255.252.0 object network NETWORK_OBJ_192.168.80.0_26 subnet 192.168.80.0 255.255.255.192 object network NETWORK_OBJ_192.168.82.248_29 subnet 192.168.82.248 255.255.255.248 object network guest_ssid subnet 192.168.112.0 255.255.252.0 object network NETWORK_OBJ_192.168.82.240_28 subnet 192.168.82.240 255.255.255.240 object network real_ip_lan subnet 192.168.90.0 255.255.255.0 object network lift_disp_pc host 192.168.90.2 object network public_lift_disp_pc host 31.173.210.2 object network real_ip_for_dect host 31.173.210.2 object network NETWORK_OBJ_192.168.82.0_24 subnet 192.168.82.0 255.255.255.0 object network PHONE_lan subnet 192.168.82.0 255.255.255.0 object network proba subnet 192.168.95.0 255.255.255.0 object network NETWORK_OBJ_192.168.80.240_28 subnet 192.168.80.240 255.255.255.240 object network NETWORK_OBJ_192.168.89.232_29 subnet 192.168.89.232 255.255.255.248 object network AC_CCTV subnet 192.168.87.0 255.255.255.0 object network RDP host 192.168.104.11 object service RDPService service tcp destination eq 3389 object service RDPService2 service tcp source eq 3389 object network NETWORK_OBJ_192.168.104.254_31 subnet 192.168.104.254 255.255.255.254 object network Appache host 192.168.104.10 object network Appache_80 host 192.168.104.10 access-list acl_out extended permit icmp any any time-exceeded access-list acl_out extended permit icmp any any unreachable access-list acl_out extended permit tcp any any eq ssh access-list acl_out extended permit tcp any any access-list acl_out extended permit ip any any access-list acl_in extended permit tcp any host 192.168.80.4 eq telnet access-list acl_in extended permit tcp any host 192.168.80.2 eq 232 access-list acl_in extended permit tcp any host 192.168.80.2 eq ssh access-list acl_in extended permit tcp any host 192.168.80.2 eq www access-list acl_in extended permit icmp any any echo access-list global_access extended permit ip any any access-list permit_PBX standard permit 192.168.80.0 255.255.255.0 access-list admlan_to_phone extended permit ip 192.168.104.0 255.255.252.0 192.168.82.0 255.255.255.0 access-list phone_to_admlan extended permit ip 192.168.82.0 255.255.255.0 192.168.104.0 255.255.252.0 access-list outside_access_in extended permit ip any any access-list outside_access_in extended permit object RDPService any object RDP access-list outside_access_in extended permit tcp any object Appache eq www access-list room_lan_access_in extended deny ip 192.168.100.0 255.255.252.0 192.168.104.0 255.255.252.0 access-list room_lan_access_in remark Permit_any_service access-list room_lan_access_in extended permit ip any any access-list AC_CCTV_access_in extended permit ip 192.168.87.0 255.255.255.0 192.168.104.0 255.255.252.0 access-list AC_CCTV_access_in remark Permit_any_service access-list AC_CCTV_access_in extended permit ip any any access-list PermitADM standard permit 192.168.104.0 255.255.252.0 pager lines 24 logging enable logging timestamp logging monitor warnings logging buffered warnings logging trap warnings logging history warnings logging asdm warnings mtu outside 1500 mtu adm_lan 1500 mtu MNGMTSW 1500 mtu MNGMTAPS 1500 mtu PHONE 1500 mtu guest_ssid 1500 mtu PUBLICSID 1500 mtu room_lan 1500 mtu AC_CCTV 1500 mtu DS_TV 1500 mtu LIFT_LAN 1500 mtu real_ip 1500 mtu management 1500 failover failover lan unit secondary failover lan interface FailoverLink GigabitEthernet0/5 failover link STBFailoverLink GigabitEthernet0/3 failover interface ip FailoverLink 192.168.0.1 255.255.255.252 standby 192.168.0.2 failover interface ip STBFailoverLink 192.168.0.5 255.255.255.252 standby 192.168.0.6 no monitor-interface outside no monitor-interface adm_lan no monitor-interface MNGMTSW no monitor-interface MNGMTAPS no monitor-interface PHONE no monitor-interface guest_ssid no monitor-interface PUBLICSID no monitor-interface room_lan no monitor-interface AC_CCTV no monitor-interface DS_TV no monitor-interface LIFT_LAN no monitor-interface real_ip no monitor-interface management icmp unreachable rate-limit 1 burst-size 1 icmp permit any outside icmp permit any real_ip asdm image disk0:/asdm-792-152.bin asdm history enable arp timeout 14400 no arp permit-nonconnected arp rate-limit 8192 nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.0_26 NETWORK_OBJ_192.168.80.0_26 no-proxy-arp route-lookup nat (PHONE,outside) source static any any destination static NETWORK_OBJ_192.168.82.0_24 NETWORK_OBJ_192.168.82.0_24 no-proxy-arp route-lookup nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (LIFT_LAN,outside) source static any any destination static NETWORK_OBJ_192.168.89.232_29 NETWORK_OBJ_192.168.89.232_29 no-proxy-arp route-lookup nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (MNGMTSW,outside) source static NETWORK_OBJ_192.168.80.0_24 NETWORK_OBJ_192.168.80.0_24 destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (adm_lan,outside) source static RDP interface service any RDPService2 nat (adm_lan,outside) source static any any destination static NETWORK_OBJ_192.168.104.254_31 NETWORK_OBJ_192.168.104.254_31 no-proxy-arp route-lookup ! object network mngsw_lan nat (MNGMTSW,outside) dynamic interface object network publicsid_lan nat (PUBLICSID,outside) dynamic interface object network mngmtaps_lan nat (MNGMTAPS,outside) dynamic interface object network lift_lan nat (LIFT_LAN,outside) dynamic interface object network ssh_to_core nat (MNGMTSW,outside) static interface service tcp ssh 55555 object network room_lan nat (room_lan,outside) dynamic interface object network web_to_core nat (MNGMTSW,outside) static interface service tcp www 8090 object network ds_tv_lan nat (DS_TV,outside) dynamic interface object network adm_lan nat (adm_lan,outside) dynamic interface object network guest_ssid nat (guest_ssid,outside) dynamic interface object network PHONE_lan nat (any,outside) dynamic interface object network AC_CCTV nat (any,outside) dynamic interface object network Appache_80 nat (adm_lan,outside) static interface service tcp www www access-group outside_access_in in interface outside access-group room_lan_access_in in interface room_lan access-group AC_CCTV_access_in in interface AC_CCTV route outside 0.0.0.0 0.0.0.0 31.173.210.1 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 timeout igp stale-route 0:01:10 user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication login-history http server enable http server idle-timeout 10 http server session-timeout 10 http 192.168.1.0 255.255.255.0 management http 192.168.80.0 255.255.255.0 MNGMTSW http 192.168.80.0 255.255.255.0 outside http 80.64.105.68 255.255.255.255 outside no snmp-server location no snmp-server contact sla monitor 1 management-access MNGMTSW dhcpd dns 31.173.210.1 8.8.8.8 ! dhcpd address 192.168.104.215-192.168.104.250 adm_lan dhcpd domain TheLocal interface adm_lan dhcpd enable adm_lan ! dhcpd address 192.168.81.5-192.168.81.254 MNGMTAPS ! dhcpd address 192.168.82.25-192.168.82.200 PHONE dhcpd enable PHONE ! dhcpd address 192.168.112.4-192.168.112.250 guest_ssid dhcpd domain guest_ssid interface guest_ssid dhcpd enable guest_ssid ! dhcpd address 192.168.108.4-192.168.108.250 PUBLICSID dhcpd lease 900 interface PUBLICSID dhcpd domain TheLocalPublic interface PUBLICSID dhcpd enable PUBLICSID ! dhcpd address 192.168.100.4-192.168.100.250 room_lan dhcpd domain TheLocal_room interface room_lan dhcpd enable room_lan ! dhcpd address 192.168.88.3-192.168.88.200 DS_TV dhcpd enable DS_TV ! dhcpd address 192.168.89.3-192.168.89.200 LIFT_LAN dhcpd enable LIFT_LAN ! dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 26 января, 2020 (изменено) · Жалоба особенность софта ASA, что icmp в ACL нужно разрешать явно, добавьте себе access-group MNGMTSW_in in interface MNGMTSW access-group adm_lan_in in interface adm_lan access-list MNGMTSW_in extended permit icmp any any echo-reply access-list MNGMTSW_in extended permit icmp any any echo access-list adm_lan_in extended permit icmp any any echo-reply access-list adm_lan_in extended permit icmp any any echo access-list adm_lan_in extended permit ip any any да и зачем у вас вот это в конфиге? access-list outside_access_in extended permit ip any any Изменено 26 января, 2020 пользователем fork Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 26 января, 2020 · Жалоба 21 минуту назад, fork сказал: да и зачем у вас вот это в конфиге? access-list outside_access_in extended permit ip any any Честно - не знаю)) Подрядчик много чего туда "повтыкал", и я будучи начинающий юзер всякого мусора там поудалял, которого было видно и даже юзеру начинающему. Могу тоже удалить данную строку!? 25 минут назад, fork сказал: access-group MNGMTSW_in in interface MNGMTSW access-group adm_lan_in in interface adm_lan access-list MNGMTSW_in extended permit icmp any any echo-reply access-list MNGMTSW_in extended permit icmp any any echo access-list adm_lan_in extended permit icmp any any echo-reply access-list adm_lan_in extended permit icmp any any echo access-list adm_lan_in extended permit ip any any fork, и подскажи плыз, эти строки если я буду поочередно добавлять....то ничего ж не произойдет с теми что там внизу уже существуют? просто помниться где то вычитывал что у cisco(не помню на этой ли модели) что при прописывании правил в аксес листах, то они якобы теряют актуальность что-то в этом роде. Могу я смело прописывать эти строки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 26 января, 2020 · Жалоба 2 часа назад, Murad82 сказал: fork, и подскажи плыз, эти строки если я буду поочередно добавлять....то ничего ж не произойдет с теми что там внизу уже существуют? просто помниться где то вычитывал что у cisco(не помню на этой ли модели) что при прописывании правил в аксес листах, то они якобы теряют актуальность что-то в этом роде. Могу я смело прописывать эти строки? По идее да. ACL проверяется от начала к концу, т.е. снизу вверх и если удалять какие-то строки из ацл все должно быть номрально. да, может я и неправ, но надо попробовать добавить подобное правило для icmp object network web_to_core nat (MNGMTSW,outside) static interface service tcp www 8090 только с icmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 26 января, 2020 · Жалоба не, NAT-ов судя по конфигу хватает... а вообще, если возникает подобные затруднения, рекомендую использовать встроенную фичу/утилиту в софт ASA - packet-tracer покажет в каком месте и чего вам не хватает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 27 января, 2020 · Жалоба В общем, указанные выше аксес листы добавил, результата не дало( И попробовал пакет трейсер, вроде он говорит что роута нет, гляньте плыз, надеюсь правильно сделал трасировку) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 27 января, 2020 · Жалоба route outside 0.0.0.0 0.0.0.0 31.173.210.1 1 в конфиге роут только вот, походу это шлюз от провайдера. в реальности он тоже один? пакет-трейсер - роут кмк неверен. надо с любого внутреннего адреса на 31.173.210.1 - это внешний, а 31.173.210.2 - шлюз провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 27 января, 2020 · Жалоба 1 час назад, kapydan сказал: в конфиге роут только вот, походу это шлюз от провайдера. в реальности он тоже один? Да, это шлюз, и он один забит в cisco, и в реальности один шлюз, он и является, т.е. - 31.173.210.1 1 час назад, kapydan сказал: пакет-трейсер - роут кмк неверен. надо с любого внутреннего адреса на 31.173.210.1 - это внешний, а 31.173.210.2 - шлюз провайдера. 31.173.210.2 - это у нас как раз ИП. А если в пакет трейсер шлюз трасирую, то он проходит, но зато пинга на него нет почему то с хоста) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 27 января, 2020 · Жалоба 12 минут назад, Murad82 сказал: А если в пакет трейсер шлюз трасирую, то он проходит, но зато пинга на него нет почему то с хоста) Т.к. аса же натит верно, вот поэтому и проходит. Все таки кажется, что проблема именно в нате + роуте с внутренней сети до внешнего адреса. Напиши еще плз, с какого именно адреса не удается пинг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 27 января, 2020 · Жалоба С любого VLANа не пингует, ну а мне надо чтоб мог с MNGMTSW и ad m_lan, остальные мне не важны. Соответственно ad m_lan - 192.168.104.1 и MNGMTSW - 192.168.80.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 1 февраля, 2020 (изменено) · Жалоба стало интересно самому, частично воспроизвел ваш конфиг на стенде, дело даже не в нате, у ASA в софте похоже отключена такая возможность (обращаться к шлюзу другого периметра безопасности) в конфиге вообще без NATа имеем следующие ошибки в логах 6 Feb 01 2020 11:27:17 110002 192.168.104.10 1 Failed to locate egress interface for ICMP from outside:192.168.104.10/1 to 31.173.210.2/0 %ASA-6-110002: Failed to locate egress interface for protocol from src interface:src IP/src port to dest IP/dest port .An error occurred when the ASA tried to find the interface through which to send the packet. собственно в поддержке cisco пишут тоже самое, что это невозможно: https://community.cisco.com/t5/firewalls/asa-6-110002-failed-to-locate-egress-interface-for-icmp-from/td-p/2454572 Изменено 1 февраля, 2020 пользователем fork Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 1 февраля, 2020 · Жалоба там советуют добавить same-security-traffic permit inter-interface, но она уже есть в конфиге. как и same-security-traffic permit intra-interface. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 2 февраля, 2020 (изменено) · Жалоба В общем, на одном из форумов, тож написали что девайс этого "не умеет" ), кажется мне нужно поднимать DNS сервер. Вся это задумка была из-за того, чтоб наши пользователи, которые подключаются к нашему рабочему интернету, не могли заходить на портал(который поднят на одном из серверов, и закреплен на белом ИП), используя другой инет то они могут подключатся к порталу, а вот на работе нет доступа, ибо просто приходиться ставить костыли типа прописи в etc/hosts на каждой рабочей машине. В общем, надо думать про DNS ) Всем вам большое спасибо ребята! Далее лазить по форумам где DNS)) Изменено 2 февраля, 2020 пользователем Murad82 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fork Опубликовано 2 февраля, 2020 · Жалоба если стояла задача выполнять подмену DNS адресов в зависимости от сети пользователей, то можно и без DNS сервера обойтись. у ASA есть прекрасный сервис, DNS Doctoring который позволяет перезаписывать (rewrite) DNS A-записи и PTR-записи. http://www.ccienetlab.com/security/21-dns-doctoring-na-asa-9x-publichnyy-dns-server.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 2 февраля, 2020 · Жалоба оув...нужно почитать как будет время) Благодарю! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Murad82 Опубликовано 3 февраля, 2020 · Жалоба Извините, а не подскажете как бы проверить включено или нет "инспектирование протокола DNS", там пишется что при этом условии это только работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 20 февраля, 2020 · Жалоба Кстати да, вчера столкнулся тоже с этой проблемой - с хоста из внутренней сети нельзя пропинговать внешний адрес асы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...