Помогите, пожалуйста.
Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на outside.
> Помогите, пожалуйста.
> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
> outside.inspect icmp есть?
>> Помогите, пожалуйста.
>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>> outside.
> inspect icmp есть?нет
>>> Помогите, пожалуйста.
>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>> outside.
>> inspect icmp есть?
> нетзначит надо добавить в настройках inspect
>>>> Помогите, пожалуйста.
>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>>> outside.
>>> inspect icmp есть?
>> нет
> значит надо добавить в настройках inspectПри добавлении inspect icmp пинга также нет.
>>>>> Помогите, пожалуйста.
>>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>>>> outside.
>>>> inspect icmp есть?
>>> нет
>> значит надо добавить в настройках inspect
> При добавлении inspect icmp пинга также нет.тогда конфиг в студию.
>>>>>> Помогите, пожалуйста.
>>>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>>>>> outside.
>>>>> inspect icmp есть?
>>>> нет
>>> значит надо добавить в настройках inspect
>> При добавлении inspect icmp пинга также нет.
> тогда конфиг в студию.ASA Version 8.4(4)
!
hostname asa-yyyynorth
domain-name YYYYnorth.ru
enable password RqKo/szXbySEYF5P encrypted
passwd RqKo/szXbySEYF5P encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 212.188.58.xxx 255.255.255.224
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.5.10 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa844-k8.bin
ftp mode passive
clock timezone AQTST 4
dns server-group DefaultDNS
name-server 212.188.4.10
name-server 195.34.32.116
domain-name yyyynorth.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network onj_inside
subnet 192.168.5.0 255.255.255.0
object-group icmp-type Ping
icmp-object echo
icmp-object echo-reply
access-list outside_access_in extended permit icmp any host 212.188.58.xxx
access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-649.bin
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface dns
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 212.188.58.xxx 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.5.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 62.117.76.139 source outside prefer
webvpn
username dmoseev password hF.Whd0iz7Dyq6GP encrypted privilege 15
!
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
!
prompt hostname context
call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:ae5f041e2042d22337079ccfedb1e925
: end
>[оверквотинг удален]
>object network obj_any
>subnet 0.0.0.0 0.0.0.0
> object network onj_inside
> subnet 192.168.5.0 255.255.255.0
> object network obj_any
> nat (inside,outside) dynamic interface dnsвижу nat для подсети 0.0.0.0 (obj_any), а где же nat для subnet 192.168.5.0 255.255.255.0 (onj_inside)?
ну и добавить, например
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect http
inspect pptp
inspect icmp
inspect dns preset_dns_map
и еще добавить service-policy global_policy global
ASA Version 8.4(4)
!
hostname asa-yyyynorth
domain-name yyyynorth.ru
enable password RqKo/szXbySEYF5P encrypted
passwd RqKo/szXbySEYF5P encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 212.188.58.xxx 255.255.255.224
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.5.10 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa844-k8.bin
ftp mode passive
clock timezone AQTST 4
dns server-group DefaultDNS
name-server 212.188.4.10
name-server 195.34.32.116
domain-name yyyynorth.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group icmp-type Ping
icmp-object echo
icmp-object echo-reply
access-list outside_access_in extended permit icmp any host 212.188.58.xxx
access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-649.bin
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 212.188.58.xxx 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.5.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 62.117.76.139 source outside prefer
webvpn
username dmoseev password hF.Whd0iz7Dyq6GP encrypted privilege 15
!
class-map global-class
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global-policy
class global-class
inspect icmp
!
service-policy global-policy global
prompt hostname context
call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:1c11defbbf4cd427641b3fbe50be3949
: endasa-yyyynorth# ping
TCP Ping [n]:
Interface: inside
Target IP address: 212.188.58.xxx
Repeat count: [5]
Datagram size: [100]
Timeout in seconds: [2]
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.188.58.xxx, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
вы хотите пинговать свой внешний интерфейс? А для чего это надо? С асы пинговать интерфейс асы? Смысл то в чем? Пингуйте уже тогда инетовский вдрес
> вы хотите пинговать свой внешний интерфейс? А для чего это надо? С
> асы пинговать интерфейс асы? Смысл то в чем? Пингуйте уже тогда
> инетовский вдреснужно для проверки ната!
Не вопрос.C:\>nslookup ya.ru
Не заслуживающий доверия ответ:
╚ь : ya.ru
Addresses: 213.180.204.3
77.88.21.3
87.250.250.3
87.250.250.203
87.250.251.3
93.158.134.3
93.158.134.203
213.180.193.3
asa-yyyynorth# ping inside 77.88.21.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 77.88.21.3, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
ТАК ПРАВИЛЬНО?
это из внешней сетиОтвет от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
C:\>ping 77.88.21.3Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
Ответ от 77.88.21.3: число байт=32 время=1мс TTL=55
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
> C:\>ping 77.88.21.3
> Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
> Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
> Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
> Ответ от 77.88.21.3: число байт=32 время=1мс TTL=55
> Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55ну так работает все. Вообще АСА внутри себя из локального интерфейса на внешний не пускает, насколько я помню.
Мне тоже хотелось чтобы работало!PS C:\> ping 192.168.5.10
Обмен пакетами с 192.168.5.10 по с 32 байтами данных:
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255Статистика Ping для 192.168.5.10:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
PS C:\> ping 77.88.21.3Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
Ответ от 192.168.5.4: Заданный узел недоступен.
Превышен интервал ожидания для запроса.
Ответ от 192.168.5.4: Заданный узел недоступен.
Ответ от 192.168.5.4: Заданный узел недоступен.Статистика Ping для 77.88.21.3:
Пакетов: отправлено = 4, получено = 3, потеряно = 1
(25% потерь)
PS C:\>access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any
> Мне тоже хотелось чтобы работало!а это что?
C:\>ping 77.88.21.3Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55пинги же идут?
>[оверквотинг удален]
> Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
> Ответ от 192.168.5.4: Заданный узел недоступен.
> Статистика Ping для 77.88.21.3:
> Пакетов: отправлено = 4, получено = 3, потеряно
> = 1
> (25% потерь)
> PS C:\>что такое 192.168.5.4? И настройки nat увидеть можно еще раз? Ну вывод команды packet-tracer