URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1149
[ Назад ]

Исходное сообщение
"Помогите настроить ASA"
Отправлено Ajavrik , 19-Дек-13 09:03

Доброго времени суток.
Есть:
Hardware: ASA5512
Cisco Adaptive Security Appliance Software Version 9.1(1)
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.160.100.250 255.0.0.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.101.50 255.255.0.0
route outside 0.0.0.0 0.0.0.0 172.16.0.2
В 10 сети имеются машины и два роутера 10.160.100.250 и 10.160.100.1
в инет все ходят через ASA 10.160.100.250, а за 10.160.100.1 есть сеть 10.10.0.0/16
дефолтом у всех установлен .100.250
Как правильно прописать маршруты и access-list на ASA к сети 10.10.0.0/16?
10.160.100.1 трогать не могу - не мой, на клиентах статику тоже нельзя.
Прописал
route inside 10.10.0.0 255.255.0.0 10.160.100.1
access-list TEST extended permit tcp any any
access-group TEST in interface inside
access-group TEST out interface inside

Помогите кто знает.

Содержание

Помогите настроить ASA,jabbson, 15:50 , 19-Дек-13
- Помогите настроить ASA,Ajavrik, 16:18 , 19-Дек-13

Сообщения в этом обсуждении

"Помогите настроить ASA"
Отправлено jabbson , 19-Дек-13 15:50

> а за 10.160.100.1 есть сеть 10.10.0.0/16
Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?

"Помогите настроить ASA"
Отправлено Ajavrik , 19-Дек-13 16:18

>> а за 10.160.100.1 есть сеть 10.10.0.0/16
> Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера
> имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?
Я сильно ошибся в конфигурации, извиняюсь
правильно так:
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.160.100.250 255.255.255.0
Это сути дела не поменяло и я дальше разобрался, спасибо.
Если кого интересует то бубен был таков:
В ASA на интерфейсах с одинаковыми security-level для маршрутизации надо прописывать
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
Но и так не заработало. Запустил tcpdump на машине и увидел что пакеты идут, но на пакет syn win от сервера за вторым маршрутизатором моя машина дает rst.
Я думаю что возвращается не правильная последовательность т.к. уходят пакеты через ASA, а приходят с другого маршрутизатора.
Эту проблему решил поставив NAT и на внутренний интерфейс.
Вроде все заработало как мне надо.
Может это и через зад, но работает. Если кто разобрался в моей схеме и знает как сделать проще - приму предложение.