Добрый день.

Начну с небольшого описания, чтобы не нагружать восприятие большим конфигом.
На интерфейсе dmz(security level 50) развернут подчиненный dns-сервер, корневой - находится на интерфейсе outside(security level 0).

Dns запросы поступают наружу, но не попадают внутрь.

Ацлка присутствует:
access-list extended permit udp host dnsoutside host dnsinside eq domain

При использовании same security traffic permit intra-interface и установки идентичных security level для интерфейсов, запросы начинают проходить до подчиненного сервера, но это меня не устраивает.

Что касается политик:
"class-map inspection_default
  match default-inspection-traffic
policy-map type inspect dns preset_dns_map
  parameters
   message-length maximum 512
policy-map global_policy
  class inspection_default
   inspect dns preset_dns_map
   inspect ftp
   inspect h323 h225
   inspect h323 ras
   inspect rsh
   inspect rtsp
   inspect esmtp
   inspect sqlnet
   inspect skinny
   inspect sunrpc
   inspect xdmcp
   inspect sip
   inspect netbios
   inspect tftp
   inspect icmp
service-policy global_policy global"

Подскажите, будьте добры, в чем я ошибся?

• Asa 5510 блокирует dns-пакеты,Денис, 20:51 , 04-Сен-14

попробуйте воспользоваться packet-tracer