kunla Опубликовано 21 сентября, 2011 (изменено) · Жалоба День добрый. Возникла потребность настроить nat на ASA ASA Version 8.3(1) ! hostname ASA ! interface GigabitEthernet0/0 nameif in security-level 100 ip address 10.10.11.14 255.255.255.252 ! interface GigabitEthernet0/1 nameif out security-level 10 ip address 10.10.11.18 255.255.255.252 ! same-security-traffic permit intra-interface object network SALES_NETWORK subnet 192.168.1.0 255.255.255.0 object network NAT_POOL_SALES host 1.1.1.1 object network NAT_POOL_1 range 2.2.2.1 2.2.2.3 object network WORK_REAL range 192.168.2.1 192.168.2.10 object-group network WORK_MAPPED network-object object NAT_POOL_1 access-list ALL extended permit ip any any pager lines 24 mtu Voltaire 1500 mtu Proxima 1500 mtu management 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat (in,out) source dynamic SALES_NETWORK NAT_POOL_SALES nat (in,out) source dynamic WORK_REAL WORK_MAPPED access-group ALL global dynamic-access-policy-record DfltAccessPolicy aaa authentication telnet console LOCAL aaa authentication ssh console LOCAL ! track 11 rtr 1 reachability console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global Имеются два правила для ната - для сетей SALES_NETWORK и WORK_REAL. Сеть SALES_NETWORK работает без проблем. Проблемы возникают с сетью WORK_REAL-перестает транслировать, в логе выводит portmap translation creation failed for icmp src in:192.168.2.1 dst out:8.8.8.8 (type 8, code 0) Еще при этом в логе появляется сообщение типа Duplicate TCP SYN from out:115.135.86.131/4935 to out:192.168.3.1/3389 with different initial sequence number При чем адреса вообще не из моих сетей. И что еще смущает - from и to указан один и тот же интерфейс - внешний. Подскажите в чем может быть проблема. Изменено 23 сентября, 2011 пользователем kunla Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
