Subnets.ru

[Izraeel]

asa 5510 version 8.3
Ух.. ничего не понятно по ней) все должно работать, но ничего не работает

Код: Выделить всё

asa(config)# sh run int
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
...... (вырезал)
!
interface Ethernet0/3
 nameif outside
 security-level 0
 ip address 192.168.0.18 255.255.255.0


подключаюсь к eth0/0 компом, назначаю айпишник 192.168.2.2/24 gw 192.168.2.1
и не пингуется eth0/3, почему?

Код: Выделить всё

asa(config)# sh running-config icmp
icmp unreachable rate-limit 10 burst-size 10
icmp permit any outside
icmp permit any echo-reply outside
icmp permit any inside
icmp permit any echo-reply inside

Код: Выделить всё

asa(config)# show running-config access-list
access-list ICMP extended permit icmp any any


Код: Выделить всё

asa(config)# show running-config access-group
access-group ICMP in interface outside
access-group ICMP out interface inside

не работает icmp, есть предложения? (( я сдаюсь

и nat не работает, и IPSEC VPN не работает..
если смогу настроить acl для icmp, то смогу и для трафика...

[Izraeel]

Код: Выделить всё

sh run
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj-192.168.2.0
 subnet 192.168.2.0 255.255.255.0
object-group icmp-type icmp-allowed
 icmp-object echo
 icmp-object echo-reply
 icmp-object time-exceeded


все равно не работает icmp... запросы идут, ответов нет

[Izraeel]

ххмм. заработало, правда еще не совсем понял как, разберусь расскажу..
только странно, с компа 192.168.1.2/24 не пингуется внешний интерфейс ASA , то есть 192.168.0.18, но зато пингуется коммутатор, который подключен к внешнему интерфейсу асы.. и работает интернет

[Izraeel]

Мне рекомендовали откатиться на версию ios 8.2
оказывается я все настроил правильно, просто в асе почему-то не пингуется внешний интерфейс, мне сказали что где-то настраивается, но возиться не буду.....

[root]

лично я с asa ещё дел никогда не имел, поэтому точно сказать что там к чему точно не могу
могу тока предложить произвести стандартный дебаг в подобных ситуациях, а именно во все access листы добавить слово log в конце правила и смотреть гед и что попадает по это правило, а где нет.
так же интерфейсы у тя находятся в разных IP-подсетях, не знаю как там у ASA, но например у catalyst 3560/3750 необходимо явно вводить команду:

Код: Выделить всё

ip routing

в противном случае пакеты из разных подсетей роутиться внутри девайса не будут.