The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Помогите настроить ASA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Помогите настроить ASA"  +/
Сообщение от Ajavrik email(ok) on 19-Дек-13, 09:03 
Доброго времени суток.
Есть:
Hardware:   ASA5512
Cisco Adaptive Security Appliance Software Version 9.1(1)

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.160.100.250 255.0.0.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.101.50 255.255.0.0

route outside 0.0.0.0 0.0.0.0 172.16.0.2

В 10 сети имеются машины и два роутера 10.160.100.250 и 10.160.100.1

в инет все ходят через ASA 10.160.100.250, а за 10.160.100.1 есть сеть 10.10.0.0/16
дефолтом у всех установлен .100.250
Как правильно прописать маршруты и access-list на ASA к сети 10.10.0.0/16?
10.160.100.1 трогать не могу - не мой, на клиентах статику тоже нельзя.

Прописал
route inside 10.10.0.0 255.255.0.0 10.160.100.1
access-list TEST extended permit tcp any any
access-group TEST in interface inside
access-group TEST out interface inside


Помогите кто знает.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите настроить ASA"  +/
Сообщение от jabbson email(ok) on 19-Дек-13, 15:50 
> а за 10.160.100.1 есть сеть 10.10.0.0/16

Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите настроить ASA"  +/
Сообщение от Ajavrik email(ok) on 19-Дек-13, 16:18 
>> а за 10.160.100.1 есть сеть 10.10.0.0/16
> Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера
> имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?

Я сильно ошибся в конфигурации, извиняюсь
правильно так:
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.160.100.250 255.255.255.0

Это сути дела не поменяло и я дальше разобрался, спасибо.
Если кого интересует то бубен был таков:
В ASA на интерфейсах с одинаковыми security-level для маршрутизации надо прописывать
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

Но и так не заработало. Запустил tcpdump на машине и увидел что пакеты идут, но на пакет syn win от сервера за вторым маршрутизатором моя машина дает rst.
Я думаю что возвращается не правильная последовательность т.к. уходят пакеты через ASA, а приходят с другого маршрутизатора.
Эту проблему решил поставив NAT и на внутренний интерфейс.
Вроде все заработало как мне надо.
Может это и через зад, но работает. Если кто разобрался в моей схеме и знает как сделать проще - приму предложение.


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру