forum.opennet.ru - "ping через Cisco ASA" (25)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ping через Cisco ASA"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ping через Cisco ASA"	+/–
Сообщение от MAXXXIMS (ok) on 19-Июн-12, 14:27
Добрый день всем! Настраиваю Cisco ASA. Пытаюсь открыть icmp для пингов из в интернет (INTERNET) из локалки (LAN) открыл icmp во всех access-list и на входе и на выходе. Но пинги из LAN не идут. Packet tracer показал что при пинге из LAN (10.53.0.0) пакеты дропаются на следующей стадии: Phase: 8 Type: NAT Subtype: Result: DROP Config: nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface Additional Information: В чем может быть проблема? чем icmp не понравилcя NAT?
Ответить \| Правка \| Cообщить модератору

Оглавление

ping через Cisco ASA, Seva, 16:29 , 19-Июн-12, (1)

ping через Cisco ASA, MAXXXIMS, 16:44 , 19-Июн-12, (2)

ping через Cisco ASA, Seva, 17:33 , 19-Июн-12, (3)
ping через Cisco ASA, Seva, 17:35 , 19-Июн-12, (4)

ping через Cisco ASA, MAXXXIMS, 10:14 , 25-Июн-12, (5)

ping через Cisco ASA, crash, 07:41 , 26-Июн-12, (6)

ping через Cisco ASA, MAXXXIMS, 09:23 , 26-Июн-12, (7)

ping через Cisco ASA, crash, 10:30 , 26-Июн-12, (8)

ping через Cisco ASA, MAXXXIMS, 11:08 , 26-Июн-12, (9)

ping через Cisco ASA, crash, 11:24 , 26-Июн-12, (10)

ping через Cisco ASA, MAXXXIMS, 11:40 , 26-Июн-12, (11)

ping через Cisco ASA, crash, 11:41 , 26-Июн-12, (12)

ping через Cisco ASA, MAXXXIMS, 11:54 , 26-Июн-12, (13)
ping через Cisco ASA, crash, 12:11 , 26-Июн-12, (14)
ping через Cisco ASA, MAXXXIMS, 12:44 , 26-Июн-12, (15)
ping через Cisco ASA, crash, 12:48 , 26-Июн-12, (16)
ping через Cisco ASA, MAXXXIMS, 12:59 , 26-Июн-12, (17)
ping через Cisco ASA, crash, 13:08 , 26-Июн-12, (18)
ping через Cisco ASA, MAXXXIMS, 16:00 , 26-Июн-12, (20)
ping через Cisco ASA, MAXXXIMS, 13:11 , 26-Июн-12, (19)
ping через Cisco ASA, crash, 17:12 , 26-Июн-12, (21) –1
ping через Cisco ASA, MAXXXIMS, 09:42 , 27-Июн-12, (22)
ping через Cisco ASA, crash, 10:07 , 27-Июн-12, (23)
ping через Cisco ASA, MAXXXIMS, 10:12 , 27-Июн-12, (24)
ping через Cisco ASA, MAXXXIMS, 09:52 , 28-Июн-12, (25)

Сообщения по теме [Сортировка по времени | RSS]

1. "ping через Cisco ASA" +/–

Сообщение от Seva (??) on 19-Июн-12, 16:29

разрешить надо, конфигу в студию...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 19-Июн-12, 16:44

> разрешить надо, конфигу в студию...
!
interface Ethernet0/0
description INTERNET
speed 100
duplex full
nameif INTERNET
security-level 0
ip address @@@@@@@@@@@@@@@@@@@@@@
!
interface Ethernet0/1
description LAN
speed 100
duplex full
nameif LAN
security-level 100
ip address 10.53.0.1 255.255.0.0

object network Net_10.53.0.0
subnet 10.53.0.0 255.255.0.0
object network HOST-FOR-PING
host 82.144.65.46
object-group icmp-type PING
icmp-object echo
icmp-object echo-reply
icmp-object unreachable
access-list LAN_access_in extended permit icmp any any object-group PING
access-list INTERNET_access_in extended permit icmp any object Net_10.53.0.0 object-group PING
nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
access-group LAN_access_in in interface LAN
access-group INTERNET_access_in in interface INTERNET

policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
  inspect icmp error

service-policy global_policy global

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ping через Cisco ASA" +/–

Сообщение от Seva (??) on 19-Июн-12, 17:33

http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ping через Cisco ASA" +/–

Сообщение от Seva (??) on 19-Июн-12, 17:35

и таки надо убрать     object-group icmp-type PING и всё что с ним связано...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 25-Июн-12, 10:14

> и таки надо убрать     object-group icmp-type PING и
> всё что с ним связано...
Все сделал как написано.
сейчас конфиг тот же, только без  object-group icmp-type PING
и плюс еще две строчки
access-list INTERNET_access_in extended permit icmp any any echo
access-list LAN_access_in extended permit icmp any any echo
ситуация не изменилась. тоже самое. Пинги с INTERNET интерфейса идут, а с LAN интерфейса нет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 07:41

> access-list LAN_access_in extended permit icmp any any echo
вы уверены что вам надо из локальной сети разрешить только echo?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 09:23

>> access-list LAN_access_in extended permit icmp any any echo
> вы уверены что вам надо из локальной сети разрешить только echo?
В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
написано именно так..

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 10:30

>>> access-list LAN_access_in extended permit icmp any any echo
>> вы уверены что вам надо из локальной сети разрешить только echo?
> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> написано именно так..
там написано именно так для входящего трафика на внешнем интерфейсе, а не для входящего на внутреннем. Как говорится "почувствуйте разницу".

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 11:08

>>>> access-list LAN_access_in extended permit icmp any any echo
>>> вы уверены что вам надо из локальной сети разрешить только echo?
>> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>> написано именно так..
> там написано именно так для входящего трафика на внешнем интерфейсе, а не
> для входящего на внутреннем. Как говорится "почувствуйте разницу".
Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для входящего на внешнем интерфейсе то из LAN пакеты не уйдут на внешний интерфейс. Или я ошибаюсь? :)))

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 11:24

> Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для
> входящего на внешнем интерфейсе то из LAN пакеты не уйдут на
> внешний интерфейс. Или я ошибаюсь? :)))
Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для теста. В ASA с более защищенного в менее защищенный интерфейс пропускает все.
ну давайте не применительно к пингам сейчас.
Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт к примеру, согласно вашему правилу any any eq такойто. И на входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно все тому же вашему правилу.
Но ведь echo это ответ. Или нет?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 11:40

>[оверквотинг удален]
>> внешний интерфейс. Или я ошибаюсь? :)))
> Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для
> теста. В ASA с более защищенного в менее защищенный интерфейс пропускает
> все.
> ну давайте не применительно к пингам сейчас.
> Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт
> к примеру, согласно вашему правилу any any eq такойто. И на
> входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно
> все тому же вашему правилу.
> Но ведь echo это ответ. Или нет?
Да, ответ.
Таким образом у меня ничего не ограничивает пинги из LAN, да и ответы (согласно прописаным мною настройкам) должны проходить..... однако!
Вот собственно и жду помощи.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 11:41

>> Но ведь echo это ответ. Или нет?
> Да, ответ.
> Таким образом у меня ничего не ограничивает пинги из LAN, да и
> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
> Вот собственно и жду помощи.
>access-list LAN_access_in extended permit icmp any any echo
то есть согласно вашему правилу из лан вы пропускаете ответ, а все остальное запрещаете. Или я где-то пропустил остальные правила?
Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 11:54

>>> Но ведь echo это ответ. Или нет?
>> Да, ответ.
>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>> Вот собственно и жду помощи.
>>access-list LAN_access_in extended permit icmp any any echo
> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
> остальное запрещаете. Или я где-то пропустил остальные правила?
> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
Прописал. Не помогло.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 12:11

>>>> Но ведь echo это ответ. Или нет?
>>> Да, ответ.
>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>>> Вот собственно и жду помощи.
>>>access-list LAN_access_in extended permit icmp any any echo
>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
>> остальное запрещаете. Или я где-то пропустил остальные правила?
>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
> Прописал. Не помогло.
версия софта у вас какая?
И вообще для начала предлагаю просто разрешить весь icmp траффик

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 12:44

>[оверквотинг удален]
>>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>>>> Вот собственно и жду помощи.
>>>>access-list LAN_access_in extended permit icmp any any echo
>>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
>>> остальное запрещаете. Или я где-то пропустил остальные правила?
>>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
>> Прописал. Не помогло.
> версия софта у вас какая?
> И вообще для начала предлагаю просто разрешить весь icmp траффик
Так вот в том то и вопрос, что трафик icmp  ничем не запрещен!
Или я что то упустил в конфиге?
Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 12:48

> Так вот в том то и вопрос, что трафик icmp  ничем
> не запрещен!
> Или я что то упустил в конфиге?
> Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.
версия софта не понятна, но давайте мы ваше правило nat удалим и сделаем
object network Net_10.53.0.0
subnet 10.53.0.0 255.255.0.0
nat (LAN,INTERNET) dynamic interface
и снова пропустим packet-tracer

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 12:59

Cisco Adaptive Security Appliance Software Version 8.4(3)
Device Manager Version 6.4(7)
А сейчас вроде прописано тоже самое?
Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 26-Июн-12, 13:08

> Cisco Adaptive Security Appliance Software Version 8.4(3)
> Device Manager Version 6.4(7)
> А сейчас вроде прописано тоже самое?
> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/... вот инструкция по nat

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 16:00

>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>> Device Manager Version 6.4(7)
>> А сейчас вроде прописано тоже самое?
>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/...
> вот инструкция по nat
И нерабочая ссылка.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

19. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 26-Июн-12, 13:11

> Cisco Adaptive Security Appliance Software Version 8.4(3)
> Device Manager Version 6.4(7)
> А сейчас вроде прописано тоже самое?
> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
ссылка логин хочет...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "ping через Cisco ASA" –1 +/–

Сообщение от crash (ok) on 26-Июн-12, 17:12

>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>> Device Manager Version 6.4(7)
>> А сейчас вроде прописано тоже самое?
>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> ссылка логин хочет...
тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или нет, ваше дело.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 27-Июн-12, 09:42

>>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>>> Device Manager Version 6.4(7)
>>> А сейчас вроде прописано тоже самое?
>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
>> ссылка логин хочет...
> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или
> нет, ваше дело.
Делать нат или не делать?  :)))
Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA?
Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной проблемы. Скорее всего только на способ решения.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "ping через Cisco ASA" +/–

Сообщение от crash (ok) on 27-Июн-12, 10:07

>[оверквотинг удален]
>>>> Device Manager Version 6.4(7)
>>>> А сейчас вроде прописано тоже самое?
>>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
>>> ссылка логин хочет...
>> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или
>> нет, ваше дело.
> Делать нат или не делать?  :)))
> Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA?
> Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной
> проблемы. Скорее всего только на способ решения.
у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то в инете, надо иметь белый айпи. У вас в сети серый, значит вам надо натить. Так что делать или нет решать вам

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 27-Июн-12, 10:12

> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то
> в инете, надо иметь белый айпи. У вас в сети серый,
> значит вам надо натить. Так что делать или нет решать вам
Это понятно что надо натить! И это и сделано! И в моем конфиге нат уже есть!
Только я не понимаю почему вы рекомендуете снести NAT который уже настроен и настроить какой то другой? по моему в моих настройках NATа нигде ping явно не запрещен!
Я как раз и хочу разобраться, чем ping уже настроенному NAT не нравится?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "ping через Cisco ASA" +/–

Сообщение от MAXXXIMS (ok) on 28-Июн-12, 09:52

>> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то
>> в инете, надо иметь белый айпи. У вас в сети серый,
>> значит вам надо натить. Так что делать или нет решать вам
> Это понятно что надо натить! И это и сделано! И в моем
> конфиге нат уже есть!
> Только я не понимаю почему вы рекомендуете снести NAT который уже настроен
> и настроить какой то другой? по моему в моих настройках NATа
> нигде ping явно не запрещен!
> Я как раз и хочу разобраться, чем ping уже настроенному NAT не
> нравится?
Кто нибудь знает что именно делает строка:
nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
И почему пинги из за нее (как выяснилось) не ходят.
Натирование портов тут вроде бы не включено...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ping через Cisco ASA"	+/–
Сообщение от Seva (??) on 19-Июн-12, 16:29
разрешить надо, конфигу в студию...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 19-Июн-12, 16:44
	> разрешить надо, конфигу в студию... ! interface Ethernet0/0 description INTERNET speed 100 duplex full nameif INTERNET security-level 0 ip address @@@@@@@@@@@@@@@@@@@@@@ ! interface Ethernet0/1 description LAN speed 100 duplex full nameif LAN security-level 100 ip address 10.53.0.1 255.255.0.0 object network Net_10.53.0.0 subnet 10.53.0.0 255.255.0.0 object network HOST-FOR-PING host 82.144.65.46 object-group icmp-type PING icmp-object echo icmp-object echo-reply icmp-object unreachable access-list LAN_access_in extended permit icmp any any object-group PING access-list INTERNET_access_in extended permit icmp any object Net_10.53.0.0 object-group PING nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface access-group LAN_access_in in interface LAN access-group INTERNET_access_in in interface INTERNET policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options inspect icmp inspect icmp error service-policy global_policy global
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ping через Cisco ASA"	+/–
	Сообщение от Seva (??) on 19-Июн-12, 17:33
	http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ping через Cisco ASA"	+/–
	Сообщение от Seva (??) on 19-Июн-12, 17:35
	и таки надо убрать object-group icmp-type PING и всё что с ним связано...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 25-Июн-12, 10:14
	> и таки надо убрать object-group icmp-type PING и > всё что с ним связано... Все сделал как написано. сейчас конфиг тот же, только без object-group icmp-type PING и плюс еще две строчки access-list INTERNET_access_in extended permit icmp any any echo access-list LAN_access_in extended permit icmp any any echo ситуация не изменилась. тоже самое. Пинги с INTERNET интерфейса идут, а с LAN интерфейса нет.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 07:41
	> access-list LAN_access_in extended permit icmp any any echo вы уверены что вам надо из локальной сети разрешить только echo?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 09:23
	>> access-list LAN_access_in extended permit icmp any any echo > вы уверены что вам надо из локальной сети разрешить только echo? В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... написано именно так..
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 10:30
	>>> access-list LAN_access_in extended permit icmp any any echo >> вы уверены что вам надо из локальной сети разрешить только echo? > В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... > написано именно так.. там написано именно так для входящего трафика на внешнем интерфейсе, а не для входящего на внутреннем. Как говорится "почувствуйте разницу".
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 11:08
	>>>> access-list LAN_access_in extended permit icmp any any echo >>> вы уверены что вам надо из локальной сети разрешить только echo? >> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc... >> написано именно так.. > там написано именно так для входящего трафика на внешнем интерфейсе, а не > для входящего на внутреннем. Как говорится "почувствуйте разницу". Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для входящего на внешнем интерфейсе то из LAN пакеты не уйдут на внешний интерфейс. Или я ошибаюсь? :)))
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 11:24
	> Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для > входящего на внешнем интерфейсе то из LAN пакеты не уйдут на > внешний интерфейс. Или я ошибаюсь? :))) Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для теста. В ASA с более защищенного в менее защищенный интерфейс пропускает все. ну давайте не применительно к пингам сейчас. Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт к примеру, согласно вашему правилу any any eq такойто. И на входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно все тому же вашему правилу. Но ведь echo это ответ. Или нет?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 11:40
	>[оверквотинг удален] >> внешний интерфейс. Или я ошибаюсь? :))) > Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для > теста. В ASA с более защищенного в менее защищенный интерфейс пропускает > все. > ну давайте не применительно к пингам сейчас. > Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт > к примеру, согласно вашему правилу any any eq такойто. И на > входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно > все тому же вашему правилу. > Но ведь echo это ответ. Или нет? Да, ответ. Таким образом у меня ничего не ограничивает пинги из LAN, да и ответы (согласно прописаным мною настройкам) должны проходить..... однако! Вот собственно и жду помощи.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 11:41
	>> Но ведь echo это ответ. Или нет? > Да, ответ. > Таким образом у меня ничего не ограничивает пинги из LAN, да и > ответы (согласно прописаным мною настройкам) должны проходить..... однако! > Вот собственно и жду помощи. >access-list LAN_access_in extended permit icmp any any echo то есть согласно вашему правилу из лан вы пропускаете ответ, а все остальное запрещаете. Или я где-то пропустил остальные правила? Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 11:54
	>>> Но ведь echo это ответ. Или нет? >> Да, ответ. >> Таким образом у меня ничего не ограничивает пинги из LAN, да и >> ответы (согласно прописаным мною настройкам) должны проходить..... однако! >> Вот собственно и жду помощи. >>access-list LAN_access_in extended permit icmp any any echo > то есть согласно вашему правилу из лан вы пропускаете ответ, а все > остальное запрещаете. Или я где-то пропустил остальные правила? > Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any Прописал. Не помогло.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 12:11
	>>>> Но ведь echo это ответ. Или нет? >>> Да, ответ. >>> Таким образом у меня ничего не ограничивает пинги из LAN, да и >>> ответы (согласно прописаным мною настройкам) должны проходить..... однако! >>> Вот собственно и жду помощи. >>>access-list LAN_access_in extended permit icmp any any echo >> то есть согласно вашему правилу из лан вы пропускаете ответ, а все >> остальное запрещаете. Или я где-то пропустил остальные правила? >> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any > Прописал. Не помогло. версия софта у вас какая? И вообще для начала предлагаю просто разрешить весь icmp траффик
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 12:44
	>[оверквотинг удален] >>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и >>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако! >>>> Вот собственно и жду помощи. >>>>access-list LAN_access_in extended permit icmp any any echo >>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все >>> остальное запрещаете. Или я где-то пропустил остальные правила? >>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any >> Прописал. Не помогло. > версия софта у вас какая? > И вообще для начала предлагаю просто разрешить весь icmp траффик Так вот в том то и вопрос, что трафик icmp ничем не запрещен! Или я что то упустил в конфиге? Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 12:48
	> Так вот в том то и вопрос, что трафик icmp ничем > не запрещен! > Или я что то упустил в конфиге? > Сейчас с интерфейса INTERNET все пингуется, а с LAN нет. версия софта не понятна, но давайте мы ваше правило nat удалим и сделаем object network Net_10.53.0.0 subnet 10.53.0.0 255.255.0.0 nat (LAN,INTERNET) dynamic interface и снова пропустим packet-tracer
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 12:59
	Cisco Adaptive Security Appliance Software Version 8.4(3) Device Manager Version 6.4(7) А сейчас вроде прописано тоже самое? Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 26-Июн-12, 13:08
	> Cisco Adaptive Security Appliance Software Version 8.4(3) > Device Manager Version 6.4(7) > А сейчас вроде прописано тоже самое? > Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/... вот инструкция по nat
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	20. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 16:00
	>> Cisco Adaptive Security Appliance Software Version 8.4(3) >> Device Manager Version 6.4(7) >> А сейчас вроде прописано тоже самое? >> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface > но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/... > вот инструкция по nat И нерабочая ссылка.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	19. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 26-Июн-12, 13:11
	> Cisco Adaptive Security Appliance Software Version 8.4(3) > Device Manager Version 6.4(7) > А сейчас вроде прописано тоже самое? > Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface ссылка логин хочет...
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	21. "ping через Cisco ASA"	–1 +/–
	Сообщение от crash (ok) on 26-Июн-12, 17:12
	>> Cisco Adaptive Security Appliance Software Version 8.4(3) >> Device Manager Version 6.4(7) >> А сейчас вроде прописано тоже самое? >> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface > ссылка логин хочет... тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или нет, ваше дело.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	22. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 27-Июн-12, 09:42
	>>> Cisco Adaptive Security Appliance Software Version 8.4(3) >>> Device Manager Version 6.4(7) >>> А сейчас вроде прописано тоже самое? >>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface >> ссылка логин хочет... > тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или > нет, ваше дело. Делать нат или не делать? :))) Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA? Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной проблемы. Скорее всего только на способ решения.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "ping через Cisco ASA"	+/–
	Сообщение от crash (ok) on 27-Июн-12, 10:07
	>[оверквотинг удален] >>>> Device Manager Version 6.4(7) >>>> А сейчас вроде прописано тоже самое? >>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface >>> ссылка логин хочет... >> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или >> нет, ваше дело. > Делать нат или не делать? :))) > Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA? > Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной > проблемы. Скорее всего только на способ решения. у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то в инете, надо иметь белый айпи. У вас в сети серый, значит вам надо натить. Так что делать или нет решать вам
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 27-Июн-12, 10:12
	> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то > в инете, надо иметь белый айпи. У вас в сети серый, > значит вам надо натить. Так что делать или нет решать вам Это понятно что надо натить! И это и сделано! И в моем конфиге нат уже есть! Только я не понимаю почему вы рекомендуете снести NAT который уже настроен и настроить какой то другой? по моему в моих настройках NATа нигде ping явно не запрещен! Я как раз и хочу разобраться, чем ping уже настроенному NAT не нравится?
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "ping через Cisco ASA"	+/–
	Сообщение от MAXXXIMS (ok) on 28-Июн-12, 09:52
	>> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то >> в инете, надо иметь белый айпи. У вас в сети серый, >> значит вам надо натить. Так что делать или нет решать вам > Это понятно что надо натить! И это и сделано! И в моем > конфиге нат уже есть! > Только я не понимаю почему вы рекомендуете снести NAT который уже настроен > и настроить какой то другой? по моему в моих настройках NATа > нигде ping явно не запрещен! > Я как раз и хочу разобраться, чем ping уже настроенному NAT не > нравится? Кто нибудь знает что именно делает строка: nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface И почему пинги из за нее (как выяснилось) не ходят. Натирование портов тут вроде бы не включено...
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору