URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 18839
[ Назад ]

Исходное сообщение
"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено dimaonline , 13-Май-09 11:40

1) Существует схема подключения по трехножной схеме.
   Сети 192.168.1.0/24 inside
   Сеть 10.1.1.0/24 DMZ1
2) ACL разрешают все из UNLIMITED-USERS(inside) -> any и DMZ1-> any :
   access-list inside_access_in extended permit ip object-group UNLIMITED-USERS any
   access-list DMZ1_access_in extended permit ip any any
3) NAT настроен по PAT:
   global (DMZ1) 100 interface
   global (DMZ2) 100 interface
   global (DMZ3) 100 interface
   global (outside) 100 interface
ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают,
но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 from WEB-DMZ1 on interface DMZ1"
При этом на интерфейсе outside подобная же ситуация прекрасно работает.

Содержание

Cisco ASA & DMZ (не проходит ICMP),Eduard_k, 12:06 , 13-Май-09
- Cisco ASA & DMZ (не проходит ICMP),dimaonline, 12:09 , 13-Май-09
  - Cisco ASA & DMZ (не проходит ICMP),Mikhail, 12:52 , 13-Май-09
    - Cisco ASA & DMZ (не проходит ICMP),dimaonline, 15:56 , 13-Май-09
      - Cisco ASA & DMZ (не проходит ICMP),dimaonline, 17:13 , 21-Май-09
        
        Cisco ASA & DMZ (не проходит ICMP),dimaonline, 13:04 , 03-Июн-09

Сообщения в этом обсуждении

"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено Eduard_k , 13-Май-09 12:06

>[оверквотинг удален]
>   global (DMZ1) 100 interface
>   global (DMZ2) 100 interface
>   global (DMZ3) 100 interface
>   global (outside) 100 interface
>
>ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают,
>но PING не проходит - в логах выдает "Denied ICMP type=0, code=0
>from WEB-DMZ1 on interface DMZ1"
>
>При этом на интерфейсе outside подобная же ситуация прекрасно работает.
icmp permit any ifname

"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено dimaonline , 13-Май-09 12:09

>icmp permit any ifname
icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно пингуется.

"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено Mikhail , 13-Май-09 12:52

>>icmp permit any ifname
>
>icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно
>пингуется.
global (DMZ2) 100 interface
> global (DMZ3) 100 interface
static (DMZ1,inside)

"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено dimaonline , 13-Май-09 15:56

>static (DMZ1,inside)
В командах ASA это выглядит так:
static (DMZ1,inside) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
+ еще нужно
static (inside,DMZ1) 192.168.1.0 192.168.1.0 netmask 255.255.255.0
В принципе рабочее решение, но я хотел разобраться почему через PAT не работает (ведь в Internet на внешнем интерфейсе же не выпускаются 10-е и 192 сети).
PS: Кроме того второй сервер (ISA server) c "двумя ногами" перестает доступен быть через ASA(на внешний интерфейс) - Только изнутри, т.к. у него есть прямой маршрут к сети 192.168.1.0 (и внешний интерфейс был доступен только через PAT)

"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено dimaonline , 21-Май-09 17:13

Так как решения не нашел ТЕМЕ UP

"Cisco ASA & DMZ (не проходит ICMP)"
Отправлено dimaonline , 03-Июн-09 13:04

Нашел самостоятельно решение, правда похоже на bag в ASDM 6.1:
Решение:
policy-map global_policy
class inspection_default
...
inspect icmp
Описание БАГа:
При обращении из ASDM в global_policy присутствует строка, что ICMP инспектируется, но в самом тексте конфига этой троки я не нашел. Долго не мог понять, как в таком случае работал ICMP на outside интерфейсе - оказалось, что строка
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo-reply
icmp-object source-quench
icmp-object time-exceeded
icmp-object unreachable
access-list outside_access_in extended permit icmp any any object-group DM_INLINE_ICMP_1

СРАБАТЫВАЛА как ВХОДЯЩЕЕ соединение.