forum.opennet.ru - "Статическая маршрутизация на Cisco ASA и TCP сессии" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Статическая маршрутизация на Cisco ASA и TCP сессии"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
Сообщение от Vova (??) on 07-Мрт-13, 09:09
Всем привет. Есть сервак к которому подключаются клиенты через провайдерские каналы. На default gateway сервера (Cisco 3845) прописаны статические маршруты до клиентских сетей. Шлюзом этих маршрутов является IP провайдера: ip route 10.11.0.10 255.255.255.255 192.168.111.240 ip route 10.11.0.14 255.255.255.255 192.168.111.240 ip route 10.11.0.21 255.255.255.255 192.168.111.220 ip route 10.11.0.30 255.255.255.255 192.168.111.220 ip route 10.11.0.34 255.255.255.255 192.168.111.240 ip route 169.162.188.0 255.255.255.128 192.168.111.240 ip route 169.162.242.0 255.255.255.0 192.168.111.240 ... сеток довольно много. возникла необходимость перенести эту статику на Cisco ASA. route inside 10.11.0.10 255.255.255.255 192.168.111.240 route inside 10.11.0.14 255.255.255.255 192.168.111.240 route inside 10.11.0.21 255.255.255.255 192.168.111.220 route inside 10.11.0.30 255.255.255.255 192.168.111.220 route inside 10.11.0.34 255.255.255.255 192.168.111.240 route inside 169.162.188.0 255.255.255.128 192.168.111.240 route inside 169.162.242.0 255.255.255.0 192.168.111.240 ASA и провайдерский шлюз в одной IP сети (на ASA IP - 192.168.111.167). Друг друга видят, все IP открыто. При переносе маршрутов на АСУ клиенты не могут подключиться к серверу, при этом на сервере наблюдается такая картина: mars# netstat -n \| grep 192.168.111.2 \| grep 1530 tcp 0 0 192.168.111.2:1530 172.26.181.14:1241 SYN_RECV tcp 0 0 192.168.111.2:1530 192.168.49.42:1043 SYN_RECV tcp 0 74 192.168.111.2:1530 192.168.49.42:3086 SYN_RECV и так по всем сетям. т.е. получается что соединения до сервера проходят, но TCP сессия не устанавливается ? как только возвращаю маршруты обратно на 3845 все нормализуется. TCP сессии устанавливаются: mars# netstat -n \| grep 192.168.111.2 \| grep 1530 tcp 0 0 192.168.111.2:1530 172.26.181.14:1241 ESTABLISHED tcp 0 0 192.168.111.2:1530 192.168.49.42:1043 ESTABLISHED tcp 0 74 192.168.111.2:1530 192.168.49.42:3086 ESTABLISHED не подскажите в чем причина может быть ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 10:54 , 07-Мрт-13, (1)

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova, 11:32 , 07-Мрт-13, (2)

Статическая маршрутизация на Cisco ASA и TCP сессии, Aleks305, 15:17 , 07-Мрт-13, (3) +1

Статическая маршрутизация на Cisco ASA и TCP сессии, vg, 16:28 , 07-Мрт-13, (4)

Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 17:17 , 07-Мрт-13, (5)
Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 19:40 , 07-Мрт-13, (6)

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova, 06:55 , 11-Мрт-13, (7)

Статическая маршрутизация на Cisco ASA и TCP сессии, eek, 07:37 , 11-Мрт-13, (8)
Статическая маршрутизация на Cisco ASA и TCP сессии, sTALK_specTrum, 12:04 , 11-Мрт-13, (9)

Статическая маршрутизация на Cisco ASA и TCP сессии, Co6aka_IIokycaka, 19:44 , 21-Мрт-13, (10)

Статическая маршрутизация на Cisco ASA и TCP сессии, Alting, 18:02 , 27-Мрт-13, (11)

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova, 07:33 , 19-Июн-13, (12)

Статическая маршрутизация на Cisco ASA и TCP сессии, Alting, 12:55 , 19-Июн-13, (13)

Статическая маршрутизация на Cisco ASA и TCP сессии, Vova Ivanov, 14:42 , 19-Июн-13, (14)

Статическая маршрутизация на Cisco ASA и TCP сессии, Alting, 15:20 , 19-Июн-13, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от sTALK_specTrum on 07-Мрт-13, 10:54

> не подскажите в чем причина может быть ?
В первую очередь смотреть ACLs

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Vova (??) on 07-Мрт-13, 11:32

>> не подскажите в чем причина может быть ?
> В первую очередь смотреть ACLs
access-list 1 extended permit ip any any
access-group 1 in interface inside
access-group 1 out interface inside

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Статическая маршрутизация на Cisco ASA и TCP сессии" +1 +/–

Сообщение от Aleks305 (ok) on 07-Мрт-13, 15:17

>>> не подскажите в чем причина может быть ?
>> В первую очередь смотреть ACLs
> access-list 1 extended permit ip any any
> access-group 1 in interface inside
> access-group 1 out interface inside
ох...ный конфиг)как раз для межсетевого экрана)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от vg (??) on 07-Мрт-13, 16:28

а сервер обратно пакеты как отсылает? Тоже через ASA?
ибо очень похоже что первый пакет до сервера дошел, а обратно нет

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от sTALK_specTrum on 07-Мрт-13, 17:17

Тоже вариант.
Пакеты туда и обратно идут разными путями - ходовая залипуха.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от sTALK_specTrum on 07-Мрт-13, 19:40

Тоже вариант.
Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Vova (??) on 11-Мрт-13, 06:55

> Тоже вариант.
> Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.
да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а аса - не хочет. можно это как-то обойти временно средствами асы ? на счет аксес листов - позже все будет настроено как положено.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от eek on 11-Мрт-13, 07:37

> аса - не хочет. можно это как-то обойти временно средствами асы
> ? на счет аксес листов - позже все будет настроено как
> положено.
https://supportforums.cisco.com/docs/DOC-14491

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от sTALK_specTrum on 11-Мрт-13, 12:04

> да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а
> аса - не хочет. можно это как-то обойти временно средствами асы ?
same-security-traffic permit intra-interface
И это не всегда, а только в том случае, если обратно проходящие пакеты входят и выходят на одном интерфейсе, как бы "отражаются". Если обратный маршрут вообще не касается ASA - то никак.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Co6aka_IIokycaka on 21-Мрт-13, 19:44

Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Alting (ok) on 27-Мрт-13, 18:02

> Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а
> возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она
> режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...
Та же проблема, но фиг я что понял из примера :(
Configuration Examples for TCP State Bypass
The following is a sample configuration for TCP state bypass:
hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any
hostname(config)# class-map tcp_bypass
hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall"
hostname(config-cmap)# match access-list tcp_bypass
hostname(config-cmap)# policy-map tcp_bypass_policy
hostname(config-pmap)# class tcp_bypass
hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass
hostname(config-pmap-c)# service-policy tcp_bypass_policy outside
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224
где тут чьи айпишники?.. :(
Причем, ping и traceroute работают - все остальное - нет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Vova (??) on 19-Июн-13, 07:33

> где тут чьи айпишники?.. :(
> Причем, ping и traceroute работают - все остальное - нет.
IP адреса естественно ваши. В ACL указываете сеть либо хост для которого нужно делать tcp bypass.
Фича работает. У меня была версия 8.0 и там её не было. Обновил АСУ до 8.2 и все завелось.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Alting (ok) on 19-Июн-13, 12:55

>> где тут чьи айпишники?.. :(
>> Причем, ping и traceroute работают - все остальное - нет.
> IP адреса естественно ваши. В ACL указываете сеть либо хост для которого
> нужно делать tcp bypass.
> Фича работает. У меня была версия 8.0 и там её не было.
> Обновил АСУ до 8.2 и все завелось.
Да в том-то все и дело, что никак не пойму, как в примере заменить на мои.
Вот у меня, к примеру, так:
локалка в офисе - 172.16.0.0/24,
локалка в удаленном офисе - 192.168.1.0/25
как их подставить в пример? На какие места?
вот эта строчка:
hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
255.255.255.224
вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? Чей? Циски из локального офиса? Или клиента? Или что?
Помогите, пожалуйста, правильно прописать.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Vova Ivanov (ok) on 19-Июн-13, 14:42

>[оверквотинг удален]
> Вот у меня, к примеру, так:
> локалка в офисе - 172.16.0.0/24,
> локалка в удаленном офисе - 192.168.1.0/25
> как их подставить в пример? На какие места?
> вот эта строчка:
> hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask
> 255.255.255.224
> вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний?
> Чей? Циски из локального офиса? Или клиента? Или что?
> Помогите, пожалуйста, правильно прописать.
видимо что-то вроде этого:
access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128
access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0
это если нужно включить bypass между этими сетями.
static nat в примере вероятно для настройки bypass при доступе из инета.
в моем случае он не нужен, т.к. все вертится на inside интерфейсе в пределах одной сети. в вашем случае вероятно тоже nat не нужен.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Статическая маршрутизация на Cisco ASA и TCP сессии" +/–

Сообщение от Alting (ok) on 19-Июн-13, 15:20

>[оверквотинг удален]
>> Чей? Циски из локального офиса? Или клиента? Или что?
>> Помогите, пожалуйста, правильно прописать.
> видимо что-то вроде этого:
> access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128
> access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0
> это если нужно включить bypass между этими сетями.
> static nat в примере вероятно для настройки bypass при доступе из инета.
> в моем случае он не нужен, т.к. все вертится на inside интерфейсе
> в пределах одной сети. в вашем случае вероятно тоже nat не
> нужен.
Как-то что-то заработало, пришлось еще в nonat правило добавить на удаленную сеть, без этого не работало.
Уф.
Спасибо Вам огромное!
Пошел разбираться, что я там намутил.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
Сообщение от sTALK_specTrum on 07-Мрт-13, 10:54
> не подскажите в чем причина может быть ? В первую очередь смотреть ACLs
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Vova (??) on 07-Мрт-13, 11:32
	>> не подскажите в чем причина может быть ? > В первую очередь смотреть ACLs access-list 1 extended permit ip any any access-group 1 in interface inside access-group 1 out interface inside
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+1 +/–
	Сообщение от Aleks305 (ok) on 07-Мрт-13, 15:17
	>>> не подскажите в чем причина может быть ? >> В первую очередь смотреть ACLs > access-list 1 extended permit ip any any > access-group 1 in interface inside > access-group 1 out interface inside ох...ный конфиг)как раз для межсетевого экрана)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
Сообщение от vg (??) on 07-Мрт-13, 16:28
а сервер обратно пакеты как отсылает? Тоже через ASA? ибо очень похоже что первый пакет до сервера дошел, а обратно нет
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	5. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от sTALK_specTrum on 07-Мрт-13, 17:17
	Тоже вариант. Пакеты туда и обратно идут разными путями - ходовая залипуха.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от sTALK_specTrum on 07-Мрт-13, 19:40
	Тоже вариант. Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Vova (??) on 11-Мрт-13, 06:55
	> Тоже вариант. > Пакеты в разных направлениях по разным маршрутам идут - ходовая залипуха. да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а аса - не хочет. можно это как-то обойти временно средствами асы ? на счет аксес листов - позже все будет настроено как положено.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от eek on 11-Мрт-13, 07:37
	> аса - не хочет. можно это как-то обойти временно средствами асы > ? на счет аксес листов - позже все будет настроено как > положено. https://supportforums.cisco.com/docs/DOC-14491
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от sTALK_specTrum on 11-Мрт-13, 12:04
	> да, пакеты обратно идут другим маршрутом. роутер эту кривизну похоже обрабатывает, а > аса - не хочет. можно это как-то обойти временно средствами асы ? same-security-traffic permit intra-interface И это не всегда, а только в том случае, если обратно проходящие пакеты входят и выходят на одном интерфейсе, как бы "отражаются". Если обратный маршрут вообще не касается ASA - то никак.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору

10. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
Сообщение от Co6aka_IIokycaka on 21-Мрт-13, 19:44
Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura...
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	11. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Alting (ok) on 27-Мрт-13, 18:02
	> Догадки коллег правильны. При подключении к серверу пакеты уходят через асу, а > возвращаются от сервера минуя асу. Т.к. аса statefull firewall то она > режет последующие пакеты. Нужно использовать tcp_bypass http://www.cisco.com/en/US/docs/security/asa/asa82/configura... Та же проблема, но фиг я что понял из примера :( Configuration Examples for TCP State Bypass The following is a sample configuration for TCP state bypass: hostname(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any hostname(config)# class-map tcp_bypass hostname(config-cmap)# description "TCP traffic that bypasses stateful firewall" hostname(config-cmap)# match access-list tcp_bypass hostname(config-cmap)# policy-map tcp_bypass_policy hostname(config-pmap)# class tcp_bypass hostname(config-pmap-c)# set connection advanced-options tcp-state-bypass hostname(config-pmap-c)# service-policy tcp_bypass_policy outside hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask 255.255.255.224 где тут чьи айпишники?.. :( Причем, ping и traceroute работают - все остальное - нет.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Vova (??) on 19-Июн-13, 07:33
	> где тут чьи айпишники?.. :( > Причем, ping и traceroute работают - все остальное - нет. IP адреса естественно ваши. В ACL указываете сеть либо хост для которого нужно делать tcp bypass. Фича работает. У меня была версия 8.0 и там её не было. Обновил АСУ до 8.2 и все завелось.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Alting (ok) on 19-Июн-13, 12:55
	>> где тут чьи айпишники?.. :( >> Причем, ping и traceroute работают - все остальное - нет. > IP адреса естественно ваши. В ACL указываете сеть либо хост для которого > нужно делать tcp bypass. > Фича работает. У меня была версия 8.0 и там её не было. > Обновил АСУ до 8.2 и все завелось. Да в том-то все и дело, что никак не пойму, как в примере заменить на мои. Вот у меня, к примеру, так: локалка в офисе - 172.16.0.0/24, локалка в удаленном офисе - 192.168.1.0/25 как их подставить в пример? На какие места? вот эта строчка: hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask 255.255.255.224 вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? Чей? Циски из локального офиса? Или клиента? Или что? Помогите, пожалуйста, правильно прописать.
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Vova Ivanov (ok) on 19-Июн-13, 14:42
	>[оверквотинг удален] > Вот у меня, к примеру, так: > локалка в офисе - 172.16.0.0/24, > локалка в удаленном офисе - 192.168.1.0/25 > как их подставить в пример? На какие места? > вот эта строчка: > hostname(config-pmap-c)# static (inside,outside) 209.165.200.224 10.1.1.0 netmask > 255.255.255.224 > вообще загнала меня в тупик. 209.165.200.224 это что за адрес? Какой-то внешний? > Чей? Циски из локального офиса? Или клиента? Или что? > Помогите, пожалуйста, правильно прописать. видимо что-то вроде этого: access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128 access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0 это если нужно включить bypass между этими сетями. static nat в примере вероятно для настройки bypass при доступе из инета. в моем случае он не нужен, т.к. все вертится на inside интерфейсе в пределах одной сети. в вашем случае вероятно тоже nat не нужен.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Статическая маршрутизация на Cisco ASA и TCP сессии"	+/–
	Сообщение от Alting (ok) on 19-Июн-13, 15:20
	>[оверквотинг удален] >> Чей? Циски из локального офиса? Или клиента? Или что? >> Помогите, пожалуйста, правильно прописать. > видимо что-то вроде этого: > access-list tcp_bypass extended permit tcp 172.16.0.0 255.255.255.0 192.168.1.0 255.255.255.128 > access-list tcp_bypass extended permit tcp 192.168.1.0 255.255.255.128 172.16.0.0 255.255.255.0 > это если нужно включить bypass между этими сетями. > static nat в примере вероятно для настройки bypass при доступе из инета. > в моем случае он не нужен, т.к. все вертится на inside интерфейсе > в пределах одной сети. в вашем случае вероятно тоже nat не > нужен. Как-то что-то заработало, пришлось еще в nonat правило добавить на удаленную сеть, без этого не работало. Уф. Спасибо Вам огромное! Пошел разбираться, что я там намутил.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору