URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 10408
[ Назад ]

Исходное сообщение
"asa(pix) переадресация пакетов"
Отправлено OVDP , 26-Апр-06 13:30

уважаемые! помогите советом.
есть asa(pix). на ней стоит NAT для выхода в инет. на порт прилетают пакеты от разных посетей, замечательно натятся и выходят в инет. но стала задача что бы эти разные подсети могли общаться между собой. ВОПРОС: можно ли на PIX сделать это и как? то есть пакетики должны заварачиваться на PIX. если что то не понятно обрисовал, то пишите

Содержание

asa(pix) переадресация пакетов,sh_, 13:45 , 26-Апр-06
- asa(pix) переадресация пакетов,OVDP, 14:02 , 26-Апр-06
  - asa(pix) переадресация пакетов,sh_, 15:03 , 26-Апр-06
    - asa(pix) переадресация пакетов,ambient_sky, 12:46 , 05-Янв-07
  - asa(pix) переадресация пакетов,Черный Кот, 14:15 , 10-Авг-07
    - asa(pix) переадресация пакетов,neet, 06:35 , 03-Июн-11

Сообщения в этом обсуждении

"asa(pix) переадресация пакетов"
Отправлено sh_ , 26-Апр-06 13:45

Ну пропускай их без ната из одной подсети в другую... Вопрос не очень понятен...

"asa(pix) переадресация пакетов"
Отправлено OVDP , 26-Апр-06 14:02

>Ну пропускай их без ната из одной подсети в другую... Вопрос не
>очень понятен...
немного не понял ответ :(
заковырка в том что обе подсети находятся за INSIDE интерфейсом. а правила отключающие нат работают (если я не прав то поправте) когда с одного интерфейса на другой.
запускаю пинг :работает на все направления кроме как между этими подсетями. :(
pix пишет что
106014: Deny inbound icmp src inside:172.16.1.2 dst inside:172.16.9.2 (type 8, code 0)

"asa(pix) переадресация пакетов"
Отправлено sh_ , 26-Апр-06 15:03

так не получится... каждая сеть должна находиться за своим интерфейсом...

"asa(pix) переадресация пакетов"
Отправлено ambient_sky , 05-Янв-07 12:46

Mozno, rozdlit ich na VLANy, i razreshit same security level traffik. Tolko ne znaju kak v takom sluchaje s NATom... Lama ja jesho.. :(

"asa(pix) переадресация пакетов"
Отправлено Черный Кот , 10-Авг-07 14:15

Да не, на самом деле все получится, если:
1. Прописать
#same-security-traffic permit intra-interface
(Что означает enable traffic between two or more hosts connected to the same interface)
2. Исключить трафик МЕЖДУ локальными внутренними сетками из правила внешнего NAT, ведущего в Инет при помощи access-list`ов (NAT Exempt Rule)
3. На маршрутизаторах (или свичах) внутренней сети, которые ведут к другим локальным сеткам необходимо прописать принудительное правило маршрутизации всего диаппазона внутренней сети непосредственно на внутренний IP интерфейса CISCO
И да увидят сети друг-друга... ;-)

"asa(pix) переадресация пакетов"
Отправлено neet , 03-Июн-11 06:35

>[оверквотинг удален]
> 1. Прописать
> #same-security-traffic permit intra-interface
> (Что означает enable traffic between two or more hosts connected to the
> same interface)
> 2. Исключить трафик МЕЖДУ локальными внутренними сетками из правила внешнего NAT,
> ведущего в Инет при помощи access-list`ов (NAT Exempt Rule)
> 3. На маршрутизаторах (или свичах) внутренней сети, которые ведут к другим локальным
> сеткам необходимо прописать принудительное правило маршрутизации всего диаппазона внутренней
> сети непосредственно на внутренний IP интерфейса CISCO
> И да увидят сети друг-друга... ;-)
У меня такая же проблема как у автора(две подсети за одним интерфейсом).
Настроил все как вы посоветовали. После этого ICMP трафик между подсетями ходит, компы пингуют друг друга, но ВСЕ остальное по прежнему не работает (не открываются общие папки, вебсервера и пр.)... т.е. почему-то работает только ICMP...
Посоветуйте в какую сторону можно покопать, чтобы заработало все.