https://www.opennet.ru/openforum/vsluhforumID6/16105.html Ситуация такая, есть в локалке 2 маршрутизатора. Первый для инета, второй - корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е. мимо первого. <br>Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через асу - все работает. <br>Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как в такой ситуации сделать исключающее правило?! <br> https://www.opennet.ru/openforum/vsluhforumID6/16105.html#3 Wed, 23 Apr 2008 09:48:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;ну так сделайте, чтобы весь трафик проходил через ASA <br>&gt;&gt;иначе нафиг вы ее вообще поставили? <br>&gt;<br>&gt;Так оно и будет, просто пока нужна именно такая схема. <br>&gt;<br>&gt;------------- <br>&gt;<br>&gt;Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает <br>&gt;на рабочую станцию динамический маршрут на второй маршрутизатор и после этого <br>&gt;соединение устанавливается как надо. <br><br>вам надоотключить tcp рандомизацию<br><br>PIX515(config)# policy-map global_policy<br>PIX515(config-pmap)# class inspection_default<br>PIX515(config-pmap-c)# set connection random-sequence-number ?<br><br>mpf-policy-map-class mode commands/options:<br> disable Disable TCP sequence number randomization<br> enable Enable TCP sequence number randomization<br> https://www.opennet.ru/openforum/vsluhforumID6/16105.html#2 Wed, 23 Apr 2008 08:10:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;мимо первого. <br>&gt;&gt;Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и <br>&gt;&gt;udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно <br>&gt;&gt;tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через <br>&gt;&gt;асу - все работает. <br>&gt;&gt;Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как <br>&gt;&gt;в такой ситуации сделать исключающее правило?! <br>&gt;<br>&gt;ну так сделайте, чтобы весь трафик проходил через ASA <br>&gt;иначе нафиг вы ее вообще поставили? <br><br>Так оно и будет, просто пока нужна именно такая схема. <br><br>-------------<br><br>Продвинулся чуть дальше.. В схеме без асы, при соединении первый маршрутизатор возвращает на рабочую станцию динамический маршрут на второй маршрутизатор и после этого соединение устанавливается как надо. <br> https://www.opennet.ru/openforum/vsluhforumID6/16105.html#1 Wed, 23 Apr 2008 07:48:50 GMT &gt;[оверквотинг удален]<br>&gt;корпоративка. На рабочих станциях шлюзом по умолчанию указан первый. На нем <br>&gt;соответсвенно прописан маршрут на второй маршрутизатор для всех сетей корпоративки. Таким <br>&gt;образом весь ответный трафик возвращается вторым маршрутизатором сразу в локалку, т.е. <br>&gt;мимо первого. <br>&gt;Проблема такая, что когда заменил первый маршрутизатор АСОЙ 5510, пинги, трейс и <br>&gt;udp в корпоративку идут, а tcp аса пропускает только syn-ы, соответственно <br>&gt;tcp соединения не устанавливаются. Если прямой и обратный маршруты проходят через <br>&gt;асу - все работает. <br>&gt;Чует сердце, что тут дело в асовом инспекшене. Может кто сталкивался, как <br>&gt;в такой ситуации сделать исключающее правило?! <br><br>ну так сделайте, чтобы весь трафик проходил через ASA<br>иначе нафиг вы ее вообще поставили?<br>