СообщениеДобавлено: Пн 20 Июл, 2015 19:00 Заголовок сообщения: Добавить пользователя в список игнора Ответить с цитатой Изменить/удалить это сообщение
Граждане! Подскажите, правильно ли я понимаю, что надо сделать.Есть АСА (8.2). У нее в DMZ болтается 2811, чтоб туннели терминировать.
Аплинк на виртуальный интерфейс CISCO2811 у которого security level 0.Из туннеля приходит сеть 172.16.0.0, внутренняя сеть 192.168.222.0
В данный момент при попытке
packet-tracer input CISCO2811 tcp 172.16.0.4 62626 192.168.222.93 62626
Phase: 10
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (inside) 100 access-list NEED-TO-NAT
nat-control
match ip inside 192.168.222.0 255.255.255.0 CISCO2811 any
dynamic translation to pool 100 (No matching global)
translate_hits = 0, untranslate_hits = 0
Additional Information:Result:
input-interface: CISCO2811
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured ruleЯ так понимаю, что проблема в NAT. =)
nat-control
global (outside) 4 172.22.21.1 netmask 255.255.255.255
global (outside) 100 interface
global (outside) 5 10.9.2.178 netmask 255.255.255.255
global (bla-bla-1) 100 interface
global (bla-bla-2) 100 interface
global (bla-bla-3) 100 interface
global (bla-bla-4) 100 interface
global (bla-bla-5) 100 interface
global (bla-bla-6) 100 interface
nat (inside) 0 access-list NONAT
nat (inside) 5 access-list NAT-TO-MTT-SIP-VPN
nat (inside) 4 access-list NAT-TO-BLA-VPN
nat (inside) 100 access-list NEED-TO-NATт.е. NAT на интерфейс не применяется, как я понимаю. (вся конфига - наследство)
Я правильно понимаю, что необходимо на прилепить static NAT на интерфейс? Или есть еще конструкция с nat 0 ?
Как правильно?
Subtype: rpf-check
Result: DROPпакет, прилетевший на интерфейс CISCO2811, не соответствует обратному маршруту.
До ната дело не доходит даже
> пакет, прилетевший на интерфейс CISCO2811, не соответствует обратному маршруту.
> До ната дело не доходит дажеРазобрался.
Добавление route, кстати, никак не повлияло на вывод pt. А вот исключение нат я и вправду криво в конфиге прописал, замылился взгляд на бесконечный 10-х сетях.