URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1766
[ Назад ]

Исходное сообщение
"ASA 5510 DMZ-> INSIDE"

Отправлено Hawaiian , 20-Июл-15 18:02 
СообщениеДобавлено: Пн 20 Июл, 2015 19:00    Заголовок сообщения:    Добавить пользователя в список игнора Ответить с цитатой Изменить/удалить это сообщение
Граждане! Подскажите, правильно ли я понимаю, что надо сделать.

Есть АСА (8.2). У нее в DMZ болтается 2811, чтоб туннели терминировать.
Аплинк на виртуальный интерфейс CISCO2811 у которого security level 0.

Из туннеля приходит сеть 172.16.0.0, внутренняя сеть 192.168.222.0

В данный момент при попытке

packet-tracer input CISCO2811 tcp 172.16.0.4 62626 192.168.222.93 62626

Phase: 10
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (inside) 100 access-list NEED-TO-NAT
nat-control
match ip inside 192.168.222.0 255.255.255.0 CISCO2811 any
dynamic translation to pool 100 (No matching global)
translate_hits = 0, untranslate_hits = 0
Additional Information:

Result:
input-interface: CISCO2811
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Я так понимаю, что проблема в NAT. =)


nat-control
global (outside) 4 172.22.21.1 netmask 255.255.255.255
global (outside) 100 interface
global (outside) 5 10.9.2.178 netmask 255.255.255.255
global (bla-bla-1) 100 interface
global (bla-bla-2) 100 interface
global (bla-bla-3) 100 interface
global (bla-bla-4) 100 interface
global (bla-bla-5) 100 interface
global (bla-bla-6) 100 interface
nat (inside) 0 access-list NONAT
nat (inside) 5 access-list NAT-TO-MTT-SIP-VPN
nat (inside) 4 access-list NAT-TO-BLA-VPN
nat (inside) 100 access-list NEED-TO-NAT

т.е. NAT на интерфейс не применяется, как я понимаю. (вся конфига - наследство)

Я правильно понимаю, что необходимо на прилепить static NAT на интерфейс? Или есть еще конструкция с nat 0 ?

Как правильно?


Содержание

Сообщения в этом обсуждении
"ASA 5510 DMZ-> INSIDE"
Отправлено _alecx_ , 21-Июл-15 09:38 
Subtype: rpf-check
Result: DROP

пакет, прилетевший на интерфейс CISCO2811, не соответствует обратному маршруту.

До ната дело не доходит даже


"ASA 5510 DMZ-> INSIDE"
Отправлено Hawaiian , 21-Июл-15 17:27 
> пакет, прилетевший на интерфейс CISCO2811, не соответствует обратному маршруту.
> До ната дело не доходит даже

Разобрался.
Добавление route, кстати, никак не повлияло на вывод pt. А вот исключение нат я и вправду криво в конфиге прописал, замылился взгляд на бесконечный 10-х сетях.