- ping через Cisco ASA,
 Seva, 16:29 , 19-Июн-12 (1)разрешить надо, конфигу в студию...
- ping через Cisco ASA, MAXXXIMS, 16:44 , 19-Июн-12 (2)
> разрешить надо, конфигу в студию...!
interface Ethernet0/0
description INTERNET
speed 100
duplex full
nameif INTERNET
security-level 0
ip address @@@@@@@@@@@@@@@@@@@@@@
!
interface Ethernet0/1
description LAN
speed 100
duplex full
nameif LAN
security-level 100
ip address 10.53.0.1 255.255.0.0
object network Net_10.53.0.0
subnet 10.53.0.0 255.255.0.0
object network HOST-FOR-PING
host 82.144.65.46
object-group icmp-type PING
icmp-object echo
icmp-object echo-reply
icmp-object unreachable access-list LAN_access_in extended permit icmp any any object-group PING access-list INTERNET_access_in extended permit icmp any object Net_10.53.0.0 object-group PING nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
access-group LAN_access_in in interface LAN
access-group INTERNET_access_in in interface INTERNET
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
service-policy global_policy global
- ping через Cisco ASA, Seva, 17:33 , 19-Июн-12 (3)
- ping через Cisco ASA, Seva, 17:35 , 19-Июн-12 (4)
и таки надо убрать object-group icmp-type PING и всё что с ним связано...
- ping через Cisco ASA, MAXXXIMS, 10:14 , 25-Июн-12 (5)
> и таки надо убрать object-group icmp-type PING и
> всё что с ним связано...Все сделал как написано. сейчас конфиг тот же, только без object-group icmp-type PING
и плюс еще две строчки access-list INTERNET_access_in extended permit icmp any any echo access-list LAN_access_in extended permit icmp any any echo ситуация не изменилась. тоже самое. Пинги с INTERNET интерфейса идут, а с LAN интерфейса нет.
- ping через Cisco ASA, crash, 07:41 , 26-Июн-12 (6)
> access-list LAN_access_in extended permit icmp any any echo вы уверены что вам надо из локальной сети разрешить только echo?
- ping через Cisco ASA, MAXXXIMS, 09:23 , 26-Июн-12 (7)
- ping через Cisco ASA, crash, 10:30 , 26-Июн-12 (8)
>>> access-list LAN_access_in extended permit icmp any any echo
>> вы уверены что вам надо из локальной сети разрешить только echo?
> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> написано именно так..там написано именно так для входящего трафика на внешнем интерфейсе, а не для входящего на внутреннем. Как говорится "почувствуйте разницу".
- ping через Cisco ASA, MAXXXIMS, 11:08 , 26-Июн-12 (9)
>>>> access-list LAN_access_in extended permit icmp any any echo
>>> вы уверены что вам надо из локальной сети разрешить только echo?
>> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>> написано именно так..
> там написано именно так для входящего трафика на внешнем интерфейсе, а не
> для входящего на внутреннем. Как говорится "почувствуйте разницу".Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для входящего на внешнем интерфейсе то из LAN пакеты не уйдут на внешний интерфейс. Или я ошибаюсь? :)))
- ping через Cisco ASA, crash, 11:24 , 26-Июн-12 (10)
> Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для
> входящего на внешнем интерфейсе то из LAN пакеты не уйдут на
> внешний интерфейс. Или я ошибаюсь? :))) Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для теста. В ASA с более защищенного в менее защищенный интерфейс пропускает все.
ну давайте не применительно к пингам сейчас.
Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт к примеру, согласно вашему правилу any any eq такойто. И на входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно все тому же вашему правилу.
Но ведь echo это ответ. Или нет?
- ping через Cisco ASA, MAXXXIMS, 11:40 , 26-Июн-12 (11)
>[оверквотинг удален]
>> внешний интерфейс. Или я ошибаюсь? :)))
> Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для
> теста. В ASA с более защищенного в менее защищенный интерфейс пропускает
> все.
> ну давайте не применительно к пингам сейчас.
> Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт
> к примеру, согласно вашему правилу any any eq такойто. И на
> входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно
> все тому же вашему правилу.
> Но ведь echo это ответ. Или нет?Да, ответ.
Таким образом у меня ничего не ограничивает пинги из LAN, да и ответы (согласно прописаным мною настройкам) должны проходить..... однако!
Вот собственно и жду помощи.
- ping через Cisco ASA, crash, 11:41 , 26-Июн-12 (12)
>> Но ведь echo это ответ. Или нет?
> Да, ответ.
> Таким образом у меня ничего не ограничивает пинги из LAN, да и
> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
> Вот собственно и жду помощи.
>access-list LAN_access_in extended permit icmp any any echoто есть согласно вашему правилу из лан вы пропускаете ответ, а все остальное запрещаете. Или я где-то пропустил остальные правила?
Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
- ping через Cisco ASA, MAXXXIMS, 11:54 , 26-Июн-12 (13)
>>> Но ведь echo это ответ. Или нет?
>> Да, ответ.
>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>> Вот собственно и жду помощи.
>>access-list LAN_access_in extended permit icmp any any echo
> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
> остальное запрещаете. Или я где-то пропустил остальные правила?
> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any Прописал. Не помогло.
- ping через Cisco ASA, crash, 12:11 , 26-Июн-12 (14)
>>>> Но ведь echo это ответ. Или нет?
>>> Да, ответ.
>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>>> Вот собственно и жду помощи.
>>>access-list LAN_access_in extended permit icmp any any echo
>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
>> остальное запрещаете. Или я где-то пропустил остальные правила?
>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
> Прописал. Не помогло.версия софта у вас какая?
И вообще для начала предлагаю просто разрешить весь icmp траффик
- ping через Cisco ASA, MAXXXIMS, 12:44 , 26-Июн-12 (15)
>[оверквотинг удален]
>>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>>>> Вот собственно и жду помощи.
>>>>access-list LAN_access_in extended permit icmp any any echo
>>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
>>> остальное запрещаете. Или я где-то пропустил остальные правила?
>>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
>> Прописал. Не помогло.
> версия софта у вас какая?
> И вообще для начала предлагаю просто разрешить весь icmp траффик Так вот в том то и вопрос, что трафик icmp ничем не запрещен!
Или я что то упустил в конфиге?
Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.
- ping через Cisco ASA, crash, 12:48 , 26-Июн-12 (16)
> Так вот в том то и вопрос, что трафик icmp ничем
> не запрещен!
> Или я что то упустил в конфиге?
> Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.версия софта не понятна, но давайте мы ваше правило nat удалим и сделаем
object network Net_10.53.0.0
subnet 10.53.0.0 255.255.0.0
nat (LAN,INTERNET) dynamic interface и снова пропустим packet-tracer
- ping через Cisco ASA, MAXXXIMS, 12:59 , 26-Июн-12 (17)
Cisco Adaptive Security Appliance Software Version 8.4(3)
Device Manager Version 6.4(7)А сейчас вроде прописано тоже самое?
Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
- ping через Cisco ASA, crash, 13:08 , 26-Июн-12 (18)
> Cisco Adaptive Security Appliance Software Version 8.4(3)
> Device Manager Version 6.4(7)
> А сейчас вроде прописано тоже самое?
> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/... вот инструкция по nat
- ping через Cisco ASA, MAXXXIMS, 16:00 , 26-Июн-12 (20)
>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>> Device Manager Version 6.4(7)
>> А сейчас вроде прописано тоже самое?
>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/...
> вот инструкция по nat И нерабочая ссылка.
- ping через Cisco ASA, MAXXXIMS, 13:11 , 26-Июн-12 (19)
> Cisco Adaptive Security Appliance Software Version 8.4(3)
> Device Manager Version 6.4(7)
> А сейчас вроде прописано тоже самое?
> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface ссылка логин хочет...
- ping через Cisco ASA, crash, 17:12 , 26-Июн-12 (21) –1
>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>> Device Manager Version 6.4(7)
>> А сейчас вроде прописано тоже самое?
>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> ссылка логин хочет...тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или нет, ваше дело.
- ping через Cisco ASA, MAXXXIMS, 09:42 , 27-Июн-12 (22)
>>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>>> Device Manager Version 6.4(7)
>>> А сейчас вроде прописано тоже самое?
>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
>> ссылка логин хочет...
> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или
> нет, ваше дело.Делать нат или не делать? :)))
Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA?
Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной проблемы. Скорее всего только на способ решения.
- ping через Cisco ASA, crash, 10:07 , 27-Июн-12 (23)
>[оверквотинг удален]
>>>> Device Manager Version 6.4(7)
>>>> А сейчас вроде прописано тоже самое?
>>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
>>> ссылка логин хочет...
>> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или
>> нет, ваше дело.
> Делать нат или не делать? :)))
> Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA?
> Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной
> проблемы. Скорее всего только на способ решения.у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то в инете, надо иметь белый айпи. У вас в сети серый, значит вам надо натить. Так что делать или нет решать вам
- ping через Cisco ASA, MAXXXIMS, 10:12 , 27-Июн-12 (24)
> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то
> в инете, надо иметь белый айпи. У вас в сети серый,
> значит вам надо натить. Так что делать или нет решать вам Это понятно что надо натить! И это и сделано! И в моем конфиге нат уже есть!
Только я не понимаю почему вы рекомендуете снести NAT который уже настроен и настроить какой то другой? по моему в моих настройках NATа нигде ping явно не запрещен!
Я как раз и хочу разобраться, чем ping уже настроенному NAT не нравится?
- ping через Cisco ASA, MAXXXIMS, 09:52 , 28-Июн-12 (25)
>> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то
>> в инете, надо иметь белый айпи. У вас в сети серый,
>> значит вам надо натить. Так что делать или нет решать вам
> Это понятно что надо натить! И это и сделано! И в моем
> конфиге нат уже есть!
> Только я не понимаю почему вы рекомендуете снести NAT который уже настроен
> и настроить какой то другой? по моему в моих настройках NATа
> нигде ping явно не запрещен!
> Я как раз и хочу разобраться, чем ping уже настроенному NAT не
> нравится?Кто нибудь знает что именно делает строка:
nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
И почему пинги из за нее (как выяснилось) не ходят.
Натирование портов тут вроде бы не включено...
|
Версия для распечатки
ping через Cisco ASA, 
