URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16190
[ Назад ]

Исходное сообщение
"ASA5510 vs ICMP"
Отправлено plohish , 05-Май-08 14:05

Добрый день! Не работает icmp lan -> asa -> internet.
Глобально:
icmp permit any echo outside
icmp permit any traceroute outside
icmp permit any echo inside
icmp permit any traceroute inside
icmp permit any echo dmz
icmp permit any traceroute dmz
inside:
access-list 101 extended permit icmp 192.168.60.0 255.255.255.0 any echo
access-list 101 extended permit icmp 192.168.60.0 255.255.255.0 any traceroute
outside:
access-list 102 extended permit icmp any any echo
access-list 102 extended permit icmp any any traceroute
При таких настройках не работает пинг ни с асы, ни из локалки. Если сделать inspect icmp - пинг работает, traceroute показывает только последний хоп. Если не сложно - объясните механизм работы ASA с icmp.

Содержание

ASA5510 vs ICMP,ВОЛКА, 15:01 , 05-Май-08
- ASA5510 vs ICMP,plohish, 15:19 , 05-Май-08
  - ASA5510 vs ICMP,sbgray, 17:42 , 05-Май-08
    - ASA5510 vs ICMP,plohish, 18:28 , 05-Май-08
      - ASA5510 vs ICMP,sbgray, 19:06 , 05-Май-08

Сообщения в этом обсуждении

"ASA5510 vs ICMP"
Отправлено ВОЛКА , 05-Май-08 15:01

inspect icmp error

"ASA5510 vs ICMP"
Отправлено plohish , 05-Май-08 15:19

>inspect icmp error
Сейчас на всех интерфейсах сделал
access-list xxx extended permit icmp any any echo
access-list xxx extended permit icmp any any traceroute
access-list xxx extended permit icmp any any echo-reply
И убил inspect icmp.
Пинги ходят, трасса - нет..

"ASA5510 vs ICMP"
Отправлено sbgray , 05-Май-08 17:42

>[оверквотинг удален]
>
>Сейчас на всех интерфейсах сделал
>
>access-list xxx extended permit icmp any any echo
>access-list xxx extended permit icmp any any traceroute
>access-list xxx extended permit icmp any any echo-reply
>
>И убил inspect icmp.
>
>Пинги ходят, трасса - нет..
Добавь только на внешний интерфейс на вход
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any time-exceeded

"ASA5510 vs ICMP"
Отправлено plohish , 05-Май-08 18:28

>[оверквотинг удален]
>>access-list xxx extended permit icmp any any echo-reply
>>
>>И убил inspect icmp.
>>
>>Пинги ходят, трасса - нет..
>
>Добавь только на внешний интерфейс на вход
>
>access-list outside_access_in extended permit icmp any any echo-reply
>access-list outside_access_in extended permit icmp any any time-exceeded
Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без traceroute работает..

"ASA5510 vs ICMP"
Отправлено sbgray , 05-Май-08 19:06

>[оверквотинг удален]
>>>
>>>Пинги ходят, трасса - нет..
>>
>>Добавь только на внешний интерфейс на вход
>>
>>access-list outside_access_in extended permit icmp any any echo-reply
>>access-list outside_access_in extended permit icmp any any time-exceeded
>
>Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без
>traceroute работает..
Даже не так, А вот так,
оставь только
access-list outside_access_in extended permit icmp any any time-exceeded
и включи
inspect icmp
inspect icmp error
что бы были пинги
>Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без
>traceroute работает..
прочитай как работает traceroute и прочитай типы сообщений ICMP и все станет ясно