forum.opennet.ru - "Cisco ASA & DMZ (не проходит ICMP)" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Cisco ASA & DMZ (не проходит ICMP)"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco ASA & DMZ (не проходит ICMP)"		+/–
Сообщение от dimaonline (ok) on 13-Май-09, 11:40
1) Существует схема подключения по трехножной схеме. Сети 192.168.1.0/24 inside Сеть 10.1.1.0/24 DMZ1 2) ACL разрешают все из UNLIMITED-USERS(inside) -> any и DMZ1-> any : access-list inside_access_in extended permit ip object-group UNLIMITED-USERS any access-list DMZ1_access_in extended permit ip any any 3) NAT настроен по PAT: global (DMZ1) 100 interface global (DMZ2) 100 interface global (DMZ3) 100 interface global (outside) 100 interface ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают, но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 from WEB-DMZ1 on interface DMZ1" При этом на интерфейсе outside подобная же ситуация прекрасно работает.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco ASA & DMZ (не проходит ICMP), Eduard_k, 12:06 , 13-Май-09, (1)

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 12:09 , 13-Май-09, (2)

Cisco ASA & DMZ (не проходит ICMP), Mikhail, 12:52 , 13-Май-09, (3)

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 15:56 , 13-Май-09, (4)

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 17:13 , 21-Май-09, (5)

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 13:04 , 03-Июн-09, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco ASA & DMZ (не проходит ICMP)" +/–

Сообщение от Eduard_k (??) on 13-Май-09, 12:06

>[оверквотинг удален]
>   global (DMZ1) 100 interface
>   global (DMZ2) 100 interface
>   global (DMZ3) 100 interface
>   global (outside) 100 interface
>
>ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают,
>но PING не проходит - в логах выдает "Denied ICMP type=0, code=0
>from WEB-DMZ1 on interface DMZ1"
>
>При этом на интерфейсе outside подобная же ситуация прекрасно работает.
icmp permit any ifname

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco ASA & DMZ (не проходит ICMP)" +/–

Сообщение от dimaonline (ok) on 13-Май-09, 12:09

>icmp permit any ifname
icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно пингуется.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco ASA & DMZ (не проходит ICMP)" +/–

Сообщение от Mikhail (??) on 13-Май-09, 12:52

>>icmp permit any ifname
>
>icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно
>пингуется.
global (DMZ2) 100 interface
>   global (DMZ3) 100 interface
static (DMZ1,inside)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco ASA & DMZ (не проходит ICMP)" +/–

Сообщение от dimaonline (ok) on 13-Май-09, 15:56

>static (DMZ1,inside)
В командах ASA это выглядит так:
static (DMZ1,inside) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
+ еще нужно
static (inside,DMZ1) 192.168.1.0 192.168.1.0 netmask 255.255.255.0
В принципе рабочее решение, но я хотел разобраться почему через PAT не работает (ведь в Internet на внешнем интерфейсе же не выпускаются 10-е и 192 сети).
PS: Кроме того второй сервер (ISA server) c "двумя ногами" перестает доступен быть через ASA(на внешний интерфейс) - Только изнутри, т.к. у него есть прямой маршрут к сети 192.168.1.0 (и внешний интерфейс был доступен только через PAT)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco ASA & DMZ (не проходит ICMP)" +/–

Сообщение от dimaonline (ok) on 21-Май-09, 17:13

Так как решения не нашел ТЕМЕ UP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco ASA & DMZ (не проходит ICMP)" +/–

Сообщение от dimaonline (ok) on 03-Июн-09, 13:04

Нашел самостоятельно решение, правда похоже на bag в ASDM 6.1:
Решение:
policy-map global_policy
class inspection_default
...
  inspect icmp
Описание БАГа:
При обращении из ASDM в global_policy присутствует строка, что ICMP инспектируется, но в самом тексте конфига этой троки я не нашел. Долго не мог понять, как в таком случае работал ICMP на outside интерфейсе - оказалось, что строка
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo-reply
icmp-object source-quench
icmp-object time-exceeded
icmp-object unreachable
access-list outside_access_in extended permit icmp any any object-group DM_INLINE_ICMP_1

СРАБАТЫВАЛА как ВХОДЯЩЕЕ соединение.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco ASA & DMZ (не проходит ICMP)"		+/–
Сообщение от Eduard_k (??) on 13-Май-09, 12:06
>[оверквотинг удален] > global (DMZ1) 100 interface > global (DMZ2) 100 interface > global (DMZ3) 100 interface > global (outside) 100 interface > >ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают, >но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 >from WEB-DMZ1 on interface DMZ1" > >При этом на интерфейсе outside подобная же ситуация прекрасно работает. icmp permit any ifname
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Cisco ASA & DMZ (не проходит ICMP)"		+/–
	Сообщение от dimaonline (ok) on 13-Май-09, 12:09
	>icmp permit any ifname icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно пингуется.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Cisco ASA & DMZ (не проходит ICMP)"		+/–
	Сообщение от Mikhail (??) on 13-Май-09, 12:52
	>>icmp permit any ifname > >icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно >пингуется. global (DMZ2) 100 interface > global (DMZ3) 100 interface static (DMZ1,inside)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Cisco ASA & DMZ (не проходит ICMP)"		+/–
	Сообщение от dimaonline (ok) on 13-Май-09, 15:56
	>static (DMZ1,inside) В командах ASA это выглядит так: static (DMZ1,inside) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 + еще нужно static (inside,DMZ1) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 В принципе рабочее решение, но я хотел разобраться почему через PAT не работает (ведь в Internet на внешнем интерфейсе же не выпускаются 10-е и 192 сети). PS: Кроме того второй сервер (ISA server) c "двумя ногами" перестает доступен быть через ASA(на внешний интерфейс) - Только изнутри, т.к. у него есть прямой маршрут к сети 192.168.1.0 (и внешний интерфейс был доступен только через PAT)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Cisco ASA & DMZ (не проходит ICMP)"		+/–
	Сообщение от dimaonline (ok) on 21-Май-09, 17:13
	Так как решения не нашел ТЕМЕ UP
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Cisco ASA & DMZ (не проходит ICMP)"		+/–
	Сообщение от dimaonline (ok) on 03-Июн-09, 13:04
	Нашел самостоятельно решение, правда похоже на bag в ASDM 6.1: Решение: policy-map global_policy class inspection_default ... inspect icmp Описание БАГа: При обращении из ASDM в global_policy присутствует строка, что ICMP инспектируется, но в самом тексте конфига этой троки я не нашел. Долго не мог понять, как в таком случае работал ICMP на outside интерфейсе - оказалось, что строка object-group icmp-type DM_INLINE_ICMP_1 icmp-object echo-reply icmp-object source-quench icmp-object time-exceeded icmp-object unreachable access-list outside_access_in extended permit icmp any any object-group DM_INLINE_ICMP_1 СРАБАТЫВАЛА как ВХОДЯЩЕЕ соединение.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]