- Проблема с пингом, Аноним, 18:09 , 25-Янв-20 (1)
> Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние > сети(inside), на outside висит белый ИП, и хосты которые подключены > к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать > тот самый белый ИП - как исправить??Настроить роутинг/аксесслисты/что-то-там-еще, что ты не настроил/неправильно настроил. Конфигурацию твоего девайса люди должны телепатически считать?
- Проблема с пингом, Murad82, 21:47 , 25-Янв-20 (2)
>> Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние >> сети(inside), на outside висит белый ИП, и хосты которые подключены >> к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать >> тот самый белый ИП - как исправить?? > Настроить роутинг/аксесслисты/что-то-там-еще, что ты не настроил/неправильно настроил. > Конфигурацию твоего девайса люди должны телепатически считать?Прошу прощения, виноват. В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа видели/пинговали ип - 31.173.210.2 Лишние записи из конфига убрал(такие как ВПН, серты и т.д.) ASA Version 9.9(2) ! hostname thelocalasa
names ip local pool ForVPN 192.168.80.240-192.168.80.253 mask 255.255.255.0 ip local pool PABX 192.168.82.240-192.168.82.250 mask 255.255.255.0 ip local pool avaya 192.168.82.100-192.168.82.150 mask 255.255.255.0 ip local pool ForMNG 192.168.89.235-192.168.89.238 mask 255.255.255.0 ip local pool ForADM 192.168.104.254-192.168.104.255 mask 255.255.255.0 ! interface GigabitEthernet0/0 nameif outside security-level 100 ip address 31.173.210.2 255.255.255.240 ! interface GigabitEthernet0/1 no nameif no security-level no ip address ! interface GigabitEthernet0/2 no nameif no security-level no ip address ! interface GigabitEthernet0/3 description STATE Failover Interface ! interface GigabitEthernet0/4 no nameif no security-level no ip address ! interface GigabitEthernet0/4.3 vlan 3 nameif adm_lan security-level 100 ip address 192.168.104.1 255.255.252.0 ! interface GigabitEthernet0/4.80 vlan 80 nameif MNGMTSW security-level 100 ip address 192.168.80.1 255.255.255.0 ! interface GigabitEthernet0/4.81 vlan 81 nameif MNGMTAPS security-level 100 ip address 192.168.81.1 255.255.255.0 ! interface GigabitEthernet0/4.82 vlan 82 nameif PHONE security-level 100 ip address 192.168.82.1 255.255.255.0 ! interface GigabitEthernet0/4.83 vlan 83 nameif guest_ssid security-level 100 ip address 192.168.112.1 255.255.252.0 ! interface GigabitEthernet0/4.84 vlan 84 nameif PUBLICSID security-level 100 ip address 192.168.108.1 255.255.252.0 ! interface GigabitEthernet0/4.86 vlan 86 nameif room_lan security-level 100 ip address 192.168.100.1 255.255.252.0 ! interface GigabitEthernet0/4.87 vlan 87 nameif AC_CCTV security-level 100 ip address 192.168.87.1 255.255.255.0 ! interface GigabitEthernet0/4.88 vlan 88 nameif DS_TV security-level 100 ip address 192.168.88.1 255.255.255.0 ! interface GigabitEthernet0/4.89 vlan 89 nameif LIFT_LAN security-level 100 ip address 192.168.89.1 255.255.255.0 ! interface GigabitEthernet0/4.90 vlan 90 nameif real_ip security-level 100 ip address 192.168.90.1 255.255.255.0 ! interface GigabitEthernet0/5 description LAN Failover Interface ! interface Management0/0 management-only nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 ! boot system disk0:/asa992-smp-k8.bin ftp mode passive clock timezone MSK/MSD 3 clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup outside dns domain-lookup adm_lan dns domain-lookup MNGMTSW dns domain-lookup MNGMTAPS dns domain-lookup PHONE dns domain-lookup guest_ssid dns domain-lookup PUBLICSID dns domain-lookup room_lan dns domain-lookup AC_CCTV dns domain-lookup DS_TV dns domain-lookup LIFT_LAN dns domain-lookup real_ip dns domain-lookup management dns server-group DefaultDNS name-server 83.149.24.243 outside name-server 83.149.24.244 outside same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network mngsw_lan subnet 192.168.80.0 255.255.255.0 object network publicsid_lan subnet 192.168.108.0 255.255.252.0 object network mngmtaps_lan subnet 192.168.81.0 255.255.255.0 object network lift_lan subnet 192.168.89.0 255.255.255.0 object network ssh_to_core host 192.168.80.2 object network room_lan subnet 192.168.100.0 255.255.252.0 object network web_to_core host 192.168.80.2 object network NETWORK_OBJ_192.168.80.192_26 subnet 192.168.80.192 255.255.255.192 object network NETWORK_OBJ_192.168.80.0_24 subnet 192.168.80.0 255.255.255.0 object network ds_tv_lan subnet 192.168.88.0 255.255.255.0 object network adm_lan subnet 192.168.104.0 255.255.252.0 object network NETWORK_OBJ_192.168.80.0_26 subnet 192.168.80.0 255.255.255.192 object network NETWORK_OBJ_192.168.82.248_29 subnet 192.168.82.248 255.255.255.248 object network guest_ssid subnet 192.168.112.0 255.255.252.0 object network NETWORK_OBJ_192.168.82.240_28 subnet 192.168.82.240 255.255.255.240 object network real_ip_lan subnet 192.168.90.0 255.255.255.0 object network lift_disp_pc host 192.168.90.2 object network public_lift_disp_pc host 31.173.210.2 object network real_ip_for_dect host 31.173.210.2 object network NETWORK_OBJ_192.168.82.0_24 subnet 192.168.82.0 255.255.255.0 object network PHONE_lan subnet 192.168.82.0 255.255.255.0 object network proba subnet 192.168.95.0 255.255.255.0 object network NETWORK_OBJ_192.168.80.240_28 subnet 192.168.80.240 255.255.255.240 object network NETWORK_OBJ_192.168.89.232_29 subnet 192.168.89.232 255.255.255.248 object network AC_CCTV subnet 192.168.87.0 255.255.255.0 object network RDP host 192.168.104.11 object service RDPService service tcp destination eq 3389 object service RDPService2 service tcp source eq 3389 object network NETWORK_OBJ_192.168.104.254_31 subnet 192.168.104.254 255.255.255.254 object network Appache host 192.168.104.10 object network Appache_80 host 192.168.104.10 access-list acl_out extended permit icmp any any time-exceeded access-list acl_out extended permit icmp any any unreachable access-list acl_out extended permit tcp any any eq ssh access-list acl_out extended permit tcp any any access-list acl_out extended permit ip any any access-list acl_in extended permit tcp any host 192.168.80.4 eq telnet access-list acl_in extended permit tcp any host 192.168.80.2 eq 232 access-list acl_in extended permit tcp any host 192.168.80.2 eq ssh access-list acl_in extended permit tcp any host 192.168.80.2 eq www access-list acl_in extended permit icmp any any echo access-list global_access extended permit ip any any access-list permit_PBX standard permit 192.168.80.0 255.255.255.0 access-list admlan_to_phone extended permit ip 192.168.104.0 255.255.252.0 192.168.82.0 255.255.255.0 access-list phone_to_admlan extended permit ip 192.168.82.0 255.255.255.0 192.168.104.0 255.255.252.0 access-list outside_access_in extended permit ip any any access-list outside_access_in extended permit object RDPService any object RDP access-list outside_access_in extended permit tcp any object Appache eq www access-list room_lan_access_in extended deny ip 192.168.100.0 255.255.252.0 192.168.104.0 255.255.252.0 access-list room_lan_access_in remark Permit_any_service access-list room_lan_access_in extended permit ip any any access-list AC_CCTV_access_in extended permit ip 192.168.87.0 255.255.255.0 192.168.104.0 255.255.252.0 access-list AC_CCTV_access_in remark Permit_any_service access-list AC_CCTV_access_in extended permit ip any any access-list PermitADM standard permit 192.168.104.0 255.255.252.0 pager lines 24 logging enable logging timestamp logging monitor warnings logging buffered warnings logging trap warnings logging history warnings logging asdm warnings mtu outside 1500 mtu adm_lan 1500 mtu MNGMTSW 1500 mtu MNGMTAPS 1500 mtu PHONE 1500 mtu guest_ssid 1500 mtu PUBLICSID 1500 mtu room_lan 1500 mtu AC_CCTV 1500 mtu DS_TV 1500 mtu LIFT_LAN 1500 mtu real_ip 1500 mtu management 1500 failover failover lan unit secondary failover lan interface FailoverLink GigabitEthernet0/5 failover link STBFailoverLink GigabitEthernet0/3 failover interface ip FailoverLink 192.168.0.1 255.255.255.252 standby 192.168.0.2 failover interface ip STBFailoverLink 192.168.0.5 255.255.255.252 standby 192.168.0.6 no monitor-interface outside no monitor-interface adm_lan no monitor-interface MNGMTSW no monitor-interface MNGMTAPS no monitor-interface PHONE no monitor-interface guest_ssid no monitor-interface PUBLICSID no monitor-interface room_lan no monitor-interface AC_CCTV no monitor-interface DS_TV no monitor-interface LIFT_LAN no monitor-interface real_ip no monitor-interface management icmp unreachable rate-limit 1 burst-size 1 icmp permit any outside icmp permit any real_ip asdm image disk0:/asdm-792-152.bin asdm history enable arp timeout 14400 no arp permit-nonconnected arp rate-limit 8192 nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.0_26 NETWORK_OBJ_192.168.80.0_26 no-proxy-arp route-lookup nat (PHONE,outside) source static any any destination static NETWORK_OBJ_192.168.82.0_24 NETWORK_OBJ_192.168.82.0_24 no-proxy-arp route-lookup nat (outside,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (LIFT_LAN,outside) source static any any destination static NETWORK_OBJ_192.168.89.232_29 NETWORK_OBJ_192.168.89.232_29 no-proxy-arp route-lookup nat (MNGMTSW,outside) source static any any destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (MNGMTSW,outside) source static NETWORK_OBJ_192.168.80.0_24 NETWORK_OBJ_192.168.80.0_24 destination static NETWORK_OBJ_192.168.80.240_28 NETWORK_OBJ_192.168.80.240_28 no-proxy-arp route-lookup nat (adm_lan,outside) source static RDP interface service any RDPService2 nat (adm_lan,outside) source static any any destination static NETWORK_OBJ_192.168.104.254_31 NETWORK_OBJ_192.168.104.254_31 no-proxy-arp route-lookup ! object network mngsw_lan nat (MNGMTSW,outside) dynamic interface object network publicsid_lan nat (PUBLICSID,outside) dynamic interface object network mngmtaps_lan nat (MNGMTAPS,outside) dynamic interface object network lift_lan nat (LIFT_LAN,outside) dynamic interface object network ssh_to_core nat (MNGMTSW,outside) static interface service tcp ssh 55555 object network room_lan nat (room_lan,outside) dynamic interface object network web_to_core nat (MNGMTSW,outside) static interface service tcp www 8090 object network ds_tv_lan nat (DS_TV,outside) dynamic interface object network adm_lan nat (adm_lan,outside) dynamic interface object network guest_ssid nat (guest_ssid,outside) dynamic interface object network PHONE_lan nat (any,outside) dynamic interface object network AC_CCTV nat (any,outside) dynamic interface object network Appache_80 nat (adm_lan,outside) static interface service tcp www www access-group outside_access_in in interface outside access-group room_lan_access_in in interface room_lan access-group AC_CCTV_access_in in interface AC_CCTV route outside 0.0.0.0 0.0.0.0 31.173.210.1 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 sctp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 timeout conn-holddown 0:00:15 timeout igp stale-route 0:01:10 user-identity default-domain LOCAL aaa authentication ssh console LOCAL aaa authentication http console LOCAL aaa authentication login-history http server enable http server idle-timeout 10 http server session-timeout 10 http 192.168.1.0 255.255.255.0 management http 192.168.80.0 255.255.255.0 MNGMTSW http 192.168.80.0 255.255.255.0 outside http 80.64.105.68 255.255.255.255 outside no snmp-server location no snmp-server contact sla monitor 1 management-access MNGMTSW dhcpd dns 31.173.210.1 8.8.8.8 ! dhcpd address 192.168.104.215-192.168.104.250 adm_lan dhcpd domain TheLocal interface adm_lan dhcpd enable adm_lan ! dhcpd address 192.168.81.5-192.168.81.254 MNGMTAPS ! dhcpd address 192.168.82.25-192.168.82.200 PHONE dhcpd enable PHONE ! dhcpd address 192.168.112.4-192.168.112.250 guest_ssid dhcpd domain guest_ssid interface guest_ssid dhcpd enable guest_ssid ! dhcpd address 192.168.108.4-192.168.108.250 PUBLICSID dhcpd lease 900 interface PUBLICSID dhcpd domain TheLocalPublic interface PUBLICSID dhcpd enable PUBLICSID ! dhcpd address 192.168.100.4-192.168.100.250 room_lan dhcpd domain TheLocal_room interface room_lan dhcpd enable room_lan ! dhcpd address 192.168.88.3-192.168.88.200 DS_TV dhcpd enable DS_TV ! dhcpd address 192.168.89.3-192.168.89.200 LIFT_LAN dhcpd enable LIFT_LAN ! dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management !
- Проблема с пингом, universite, 09:52 , 26-Янв-20 (3)
>>> Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние >>> сети(inside), на outside висит белый ИП, и хосты которые подключены >>> к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать >>> тот самый белый ИП - как исправить?? >> Настроить роутинг/аксесслисты/что-то-там-еще, что ты не настроил/неправильно настроил. >> Конфигурацию твоего девайса люди должны телепатически считать? > Прошу прощения, виноват. > В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа > видели/пинговали ип - 31.173.210.2 > Лишние записи из конфига убрал(такие как ВПН, серты и т.д.) Сами писали конфиг или в наследство досталось? Конфиг очень сложный. Разбирайте по кускам логику. На жаль, я не видел программу, которая умеет парсить подобные конфиги с генерацией рисунков по L1, L2, L3...
- Проблема с пингом, Murad82, 17:15 , 26-Янв-20 (4)
>[оверквотинг удален] >>> Конфигурацию твоего девайса люди должны телепатически считать? >> Прошу прощения, виноват. >> В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа >> видели/пинговали ип - 31.173.210.2 >> Лишние записи из конфига убрал(такие как ВПН, серты и т.д.) > Сами писали конфиг или в наследство досталось? > Конфиг очень сложный. > Разбирайте по кускам логику. > На жаль, я не видел программу, которая умеет парсить подобные конфиги с > генерацией рисунков по L1, L2, L3...Досталось в наследство от подрядчика)) который не отвечает на письма)
- Проблема с пингом, Licha Morada, 00:22 , 28-Янв-20 (5)
>[оверквотинг удален] >>> Прошу прощения, виноват. >>> В общем хотелось бы чтоб adm_lan и MNGMTSW - эти два VLANа >>> видели/пинговали ип - 31.173.210.2 >>> Лишние записи из конфига убрал(такие как ВПН, серты и т.д.) >> Сами писали конфиг или в наследство досталось? >> Конфиг очень сложный. >> Разбирайте по кускам логику. >> На жаль, я не видел программу, которая умеет парсить подобные конфиги с >> генерацией рисунков по L1, L2, L3... > Досталось в наследство от подрядчика)) который не отвечает на письма) Когда ка нам на поддержку приходят подобные случаи, мы стараемся снести всё к чёртовой матери и сделать, пусть не оптимально, но так чтобы было понятно что к чему. Это происходит не с бухты-барахты, а по вдумчиво, с планом отката на "как было" если с первого раза не взлетает. Сочувсвою. Кризис это не только опасность, но и возможность (но это не точно https://ru.wikipedia.org/wiki/%D0%9A%D0%...).
- Проблема с пингом, Licha Morada, 00:47 , 28-Янв-20 (7)
> На жаль, я не видел программу, которая умеет парсить подобные конфиги с > генерацией рисунков по L1, L2, L3...Мы вручную парсим для L3. Полного конфига не требуется, достаточно списка локальных адресов и таблицы маршрутизации. До более детальной декументации обычно дело не доходит, т.к. картинка уже выглядит весьмя страшненько, чтобы стало ясно что топологию надо переделывать. А при переделке начинаем с документации и рисунков, и по ним уже внедряем.
- Проблема с пингом, Licha Morada, 00:42 , 28-Янв-20 (6)
Я в Цисках не эксперт, так, иногда ковыряю.adm_lan и MNGMTSW могут пинговать 192.168.104.1 и 192.168.81.1 соответственно? Подозреваю, что нет. > icmp permit any outside Если предположить, что этa директивa разрешают отвечать на ping на внешнем интерфейсе, а соответствующих директив для внутренних интерфейсов нет, то, возможно, дело именно в этом. Попробуйте сказать "icmp permit any inside" или "icmp permit any adm_lan" > icmp permit any real_ip Заметьте, что эта директива НЕ разрешает пинг на внешний IP. real_ip это не адрес, как можно подумать исходя из имени, а алиас интерфейса GigabitEthernet0/4.90. Классические такие грабли в naming convention.
- Проблема с пингом, Murad82, 22:05 , 28-Янв-20 (9)
>[оверквотинг удален] >> icmp permit any outside > Если предположить, что этa директивa разрешают отвечать на ping на внешнем интерфейсе, > а соответствующих директив для внутренних интерфейсов нет, то, возможно, дело именно > в этом. > Попробуйте сказать "icmp permit any inside" или "icmp permit any adm_lan" >> icmp permit any real_ip > Заметьте, что эта директива НЕ разрешает пинг на внешний IP. real_ip это > не адрес, как можно подумать исходя из имени, а алиас интерфейса > GigabitEthernet0/4.90. > Классические такие грабли в naming convention.В общем "поигрался" с icmp тоже....результата не дает(
- Проблема с пингом, Serb, 21:58 , 28-Янв-20 (8)
> Добрый день! > Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние > сети(inside), на outside висит белый ИП, и хосты которые подключены > к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать > тот самый белый ИП - как исправить?? > P.S. Если я например использую другого провайдера для инета, с "чужого" инета > я могу пинговать тот белый ИП такое не поддерживается на ASA by design
- Проблема с пингом, Murad82, 22:06 , 28-Янв-20 (10)
>> Добрый день! >> Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние >> сети(inside), на outside висит белый ИП, и хосты которые подключены >> к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать >> тот самый белый ИП - как исправить?? >> P.S. Если я например использую другого провайдера для инета, с "чужого" инета >> я могу пинговать тот белый ИП > такое не поддерживается на ASA by design Ого, ну это уже не очень новость) и это точно!??
- Проблема с пингом, Serb, 22:14 , 28-Янв-20 (11)
>>> Добрый день! >>> Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние >>> сети(inside), на outside висит белый ИП, и хосты которые подключены >>> к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать >>> тот самый белый ИП - как исправить?? >>> P.S. Если я например использую другого провайдера для инета, с "чужого" инета >>> я могу пинговать тот белый ИП >> такое не поддерживается на ASA by design > Ого, ну это уже не очень новость) и это точно!??это точно. собери стенд/лаб и проверь ) . зачем его пинговать вообще ? для сервисов на outside смотри в сторону Nat Hairpining
- Проблема с пингом, Murad82, 10:58 , 29-Янв-20 (12)
>[оверквотинг удален] >>>> Помогите пожалуйста! Проблема в следующем, есть сетевушка outside и остальные внутренние >>>> сети(inside), на outside висит белый ИП, и хосты которые подключены >>>> к внутренним сетевушкам(inside) получают инет, пашет. НО! хост не может пинговать >>>> тот самый белый ИП - как исправить?? >>>> P.S. Если я например использую другого провайдера для инета, с "чужого" инета >>>> я могу пинговать тот белый ИП >>> такое не поддерживается на ASA by design >> Ого, ну это уже не очень новость) и это точно!?? > это точно. собери стенд/лаб и проверь ) . зачем его пинговать вообще > ? для сервисов на outside смотри в сторону Nat Hairpining Затем, чтоб пользователи нашей организации, будучи подключенные с данного оборудования, и получившие инет с этого CISCO могли подключаться к порталу, который поднят на белом ИП, сотрудники не могут открыть этот портал, так как не видят его, а например пользуясь у себя дома, с другим уже инетом, они могут подключаться.
- Проблема с пингом, Аноним, 13:35 , 29-Янв-20 (13)
> Затем, чтоб пользователи нашей организации, будучи подключенные с данного оборудования, > и получившие инет с этого CISCO могли подключаться к порталу, который > поднят на белом ИП, сотрудники не могут открыть этот портал, так > как не видят его, а например пользуясь у себя дома, с > другим уже инетом, они могут подключаться.Проще организовать порталу второй адрес в локалке и настроить соответствующим образом внутренний DNS...
- Проблема с пингом, Murad82, 16:47 , 29-Янв-20 (14)
>> Затем, чтоб пользователи нашей организации, будучи подключенные с данного оборудования, >> и получившие инет с этого CISCO могли подключаться к порталу, который >> поднят на белом ИП, сотрудники не могут открыть этот портал, так >> как не видят его, а например пользуясь у себя дома, с >> другим уже инетом, они могут подключаться. > Проще организовать порталу второй адрес в локалке и настроить соответствующим образом внутренний > DNS...Вот этот внутренний ДНС чтоб настроить, подсказки мож дадите, т.е. его так же на данном CISCO юзать же?...не в курсе как это делается.
- Проблема с пингом, Аноним, 19:53 , 29-Янв-20 (15)
> Вот этот внутренний ДНС чтоб настроить, подсказки мож дадите, т.е. его так > же на данном CISCO юзать же?...не в курсе как это делается. Ну ты даешь... тебе по ходу циску еще рано трогать. Как у тебя сеть организована-то, как рабочие станции меж собой общаются? ОС на машинах какая? Домен есть? Короче. В нормально организованной сети обычно имеется минимум один сервер, на котором трудится сервер DNS. Он занимается преобразованием ip в имена в пределах своей зоны ответственности, а запросы, которые не может разрешить сам, форвардит на вышестоящий сервер. В нормально организованной сети на рабочих станциях прописан этот DNS-сервер. Соответственно, на нем и надо добавить А-запись для ip-адреса, под которым твой портал виден в _локальной_ (НЕ В ИНТЕРНЕТ!) сети. Ну а уж как в твоем хозяйстве все организовано - ВДНЕ. Разбирайся.
|