Господа коллеги прошу помощи! Вариантов больше у меня нет.
Не маршрутизируется трафик между сетями ДМЗ и ЛАН.
Поставил пару компьютеров comp1 и comp2 в дмз и лан, гейтвеем привязал их к одной циске asa 1. Между ними пинги не ходят. Пакеты просто не проходят через asa 1, проверил сниффером. Циски пингуют друг друга только интрефейсами ДМЗ.Убил все настройки, поставил ACL проходить всему в любом направлении, ничего не помогает.
На схеме изобразил полную сеть потому, что через внешний фаер asa 0 все ходит правильно. У юзеров лана есть инет как напрямую так и через PROXY. Думал, что циски просто не маршрутизируют серые адреса, но прокси то работает!
Предлагаю посмотреть конфиг asa1, думаю конфиг asa0 пока не требуется.Ткните носом пожалуйста!!!
схема сети
http://forum.sysfaq.ru/index.php?act=attach&type=post&id=9933конфиг asa 1
ASA Version 7.0(7)
!
hostname ciscoasa
domain-name default.domain.invalid
names
dns-guard
!
interface Ethernet0/0
description dmz iface
nameif dmz
security-level 100
ip address 172.30.1.2 255.255.255.0
!
interface Ethernet0/1
nameif lan
security-level 100
ip address 192.168.113.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 172.30.2.2 255.255.255.0
management-only
!
ftp mode passive
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit inter-interface
access-list dmz_access_out extended permit gre any any
access-list dmz_access_out extended permit icmp any any
access-list dmz_access_out extended permit ip any any
access-list dmz_access_in extended permit gre any any
access-list dmz_access_in extended permit icmp any any
access-list dmz_access_in extended permit ip any any
access-list lan_access_in extended permit icmp any any
access-list lan_access_in extended permit ip any any
access-list lan_access_out extended permit ip any any
access-list lan_access_out extended permit icmp any any
pager lines 24
logging enable
logging timestamp
logging emblem
logging trap informational
logging asdm debugging
logging host management 172.30.2.210
logging debug-trace
logging permit-hostdown
mtu dmz 1500
mtu lan 1500
mtu management 1500
no failover
asdm image disk0:/asdm-507.bin
no asdm history enable
arp timeout 14400
access-group dmz_access_in in interface dmz
access-group dmz_access_out out interface dmz
access-group lan_access_in in interface lan
access-group lan_access_out out interface lan
route dmz 0.0.0.0 0.0.0.0 172.30.1.1 1
route management 192.168.213.0 255.255.255.0 172.30.2.210 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.113.210 255.255.255.255 lan
http 192.168.213.0 255.255.255.0 lan
http 172.30.2.0 255.255.255.0 management
http 192.168.213.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.113.210 255.255.255.255 lan
telnet 172.30.2.0 255.255.255.0 management
telnet 192.168.213.0 255.255.255.0 management
telnet timeout 60
ssh 172.30.2.0 255.255.255.0 management
ssh timeout 5
console timeout 0
ntp server 80.93.56.210 source dmz
ntp server 77.91.228.17 source dmz
Cryptochecksum:79e25d9dac87c8f170d0237a46852b93
: end
ciscoasa# ping 192.168.113.210
Sending 5, 100-byte ICMP Echos to 192.168.113.210, timeout is 2 seconds:
!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa# ping 172.30.1.3
Sending 5, 100-byte ICMP Echos to 172.30.1.3, timeout is 2 seconds:
!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
interface Ethernet0/0
description dmz iface
nameif dmz
security-level 0
ip address 172.30.1.2 255.255.255.0На внешний интерфейс нужно поставить security-level 0
>interface Ethernet0/0
>description dmz iface
>nameif dmz
>security-level 0
>ip address 172.30.1.2 255.255.255.0
>
>На внешний интерфейс нужно поставить security-level 0стояло, но не работало. Сейчас разговаривал с более менее знающим пиксы человеком, сказал, что нат должен быть в любом случае. И схему посоветовал переделать с одной циской, а вторую в резерв подключить.
icmp permit any dmz
icmp permit any lan
no nat-control