https://www.opennet.dev/openforum/vsluhforumID6/22930.html Доброго времени суток.<br>Компания приобрела ASA5505 для замены прежнего Unix маршрутизатора.<br>Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки.<br>С удивлением для себя обнаружил, что подключится к нему с рабочей станции, находящейся в локальной сети я не могу. Но зато могу подключиться через любой промежуточный сервер, находящийся с роутером в общей DMZ зоне. Интернет доступ в свою очередь работает.<br>в access-list добавлено правило 10 line 1 extended permit ip any any.<br><br>Схема в виде изображения размещена http://www.fayloobmennik.net/832665<br><br>У кого есть идеи где может быть подвох.<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#27 Wed, 03 Aug 2011 13:25:42 GMT &gt; Зачем route у меня же NAT.<br><br>есть подозрение на некорректную работу ната. <br>sh ip route от рутера + роут на фаервол возможно прояснят ситуацию.<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#26 Wed, 03 Aug 2011 10:51:28 GMT Зачем route у меня же NAT.<br><br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#25 Mon, 01 Aug 2011 14:49:29 GMT &gt; собственно на него как раз и не удается попасть. Нет не пингуется. <br>&gt; Внешний с мира пингуется нормально.<br><br>вы упомянули что если ставите рутер на место асы то конект из локалки есть... покажите sh ip route c рутера. и попробуйте на асе прописать роут на локальную сеть в сторону юникса и посмотреть будет ли конект/пинг из локальной сети.<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#24 Mon, 01 Aug 2011 11:00:15 GMT собственно на него как раз и не удается попасть. Нет не пингуется. Внешний с мира пингуется нормально.<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#23 Mon, 01 Aug 2011 08:36:04 GMT &gt; Да оба маршрутизатора использую вторую версию Secure Shell.<br><br>глупый наверно вопрос: а из локальной сети инсайдовский интерфейс асы пингуется?<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#22 Mon, 01 Aug 2011 07:18:22 GMT Да оба маршрутизатора использую вторую версию Secure Shell.<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#21 Fri, 29 Jul 2011 15:14:44 GMT &gt; В случае если заменить ASA5505 на Cisco 800 связь из локальной сети <br>&gt; работает.<br>&gt; Nat реализован средствами natd все пакеты транслируются корректно.<br>&gt; Напомню что на ASA5505 permit ip any any.<br><br>ssh version 2 на обоих?<br><br>Кстати, с праздником всех.<br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#20 Fri, 29 Jul 2011 13:02:45 GMT В случае если заменить ASA5505 на Cisco 800 связь из локальной сети работает.<br>Nat реализован средствами natd все пакеты транслируются корректно.<br>Напомню что на ASA5505 permit ip any any.<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/22930.html#19 Fri, 29 Jul 2011 12:51:27 GMT алиасов не нада, проблема на фре, нат неправильно отрабатывает, как нат реализован через natd, kernel nat? ipfw show &#124; grep divert для natd, ps-ax &#124; grep natd для него же, если кернел нат ipfw show &#124; grep nat, по циферке ната посмотреть ipfw nat # show config, обнулить счетчики правил и посмотреть попадают ли пакеты под правила, tcpdump'ом послушать пакеты на интерфейсе, который с циской в одной подсети, посмотреть заголовки с каким айпи пакеты уходят, вобщем все просто и диагностики на 10 минут максимум.<br>