URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23265
[ Назад ]

Исходное сообщение
"NAT на ASA5510 - проблема с настройкой"
Отправлено Gustaf , 10-Ноя-11 12:23

Здравствуйте!
В конфигурации running-config "пропала" строка
nat (inside) 0 access-list inside_nat0_outbound
(определено было в сравнении с предыдущей рабочей конфигурацией)
access-list inside_nat0_outbound в конфигурации присутсвует:
access-list inside_nat0_outbound extended permit ip any 172.22.8.208 255.255.255.240
Конфигурированием занимался очень давно, поэтому прошу сильно не бить и прошу помощи.
при вводе команды
nat (inside) 0 access-list inside_nat0_outbound
получаю
ERROR: access-list has protocol or port
что не так делаю? подскажите пожалуйста.

Содержание

NAT на ASA5510 - проблема с настройкой,Seva, 14:44 , 10-Ноя-11
NAT на ASA5510 - проблема с настройкой,Seva, 14:50 , 10-Ноя-11
- NAT на ASA5510 - проблема с настройкой,Gustaf, 15:35 , 10-Ноя-11
  - NAT на ASA5510 - проблема с настройкой,Seva, 15:42 , 10-Ноя-11
NAT на ASA5510 - проблема с настройкой,sTALK_specTrum, 07:46 , 11-Ноя-11
- NAT на ASA5510 - проблема с настройкой,Gustaf, 11:35 , 11-Ноя-11

Сообщения в этом обсуждении

"NAT на ASA5510 - проблема с настройкой"
Отправлено Seva , 10-Ноя-11 14:44

У вас скорее всего новый IOS 8.3 и выше
различия следующие:

8.2 > NAT exemption used for VPN purposes (i.e. No NAT):
access-list NAT_EXEMPT_OUTBOUND extended  permit ip 10.10.10.0 255.255.255.0 ip 192.168.245.0 255.255.255.0
!
nat (inside) 0  access-list NAT_EXEMPT_OUTBOUND
!
!
!
8.3 > NAT exemption used for VPN purposes (i.e. No NAT):
object network INSIDE_HOSTS-10.10.10.0
subnet 10.10.10.0 255.255.255.0
!
object network RAVPN_HOSTS-192.168.245.0
subnet 192.168.245.0 255.255.255.0
!
nat (inside,outside) source static INSIDE_HOSTS-10.10.10.0 INSIDE_HOSTS-10.10.10.0  destination static RAVPN_HOSTS-192.168.245.0 RAVPN_HOSTS-192.168.245.0

"NAT на ASA5510 - проблема с настройкой"
Отправлено Seva , 10-Ноя-11 14:50

или ещё проще
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network obj_any
nat (inside,outside) dynamic interface

это NAT по умолчанию на асах 8.3 и выше

"NAT на ASA5510 - проблема с настройкой"
Отправлено Gustaf , 10-Ноя-11 15:35

Спасибо за ответ.
у меня версия
ASA Version 7.2(2)
вопрос в том, что ничего не менялось. а из конфигурации пропала одна строка.
( хотя сам знаю что ничего просто так не происходит).
тем не менее, раньше было:
nat (inside) 0 access-list inside_nat0_outbound
а сейчас я не могу внести это в конфигурацию :(
получаю вышеуказанную ошибку.
в связи с отсутвием это йстроки не работает VPN.
в логах:
No translation group found for icmp src outside:172.22.1.219 dst inside:172.22.1.23 (type 8, code 0)

"NAT на ASA5510 - проблема с настройкой"
Отправлено Seva , 10-Ноя-11 15:42

обновите IOS

"NAT на ASA5510 - проблема с настройкой"
Отправлено sTALK_specTrum , 11-Ноя-11 07:46

Помнится, подобные глюки вылезали при игре с deny в ACLах для NATа.
Попробуй написать такой же лист с другим названием и скормить его nat0.

"NAT на ASA5510 - проблема с настройкой"
Отправлено Gustaf , 11-Ноя-11 11:35

> Помнится, подобные глюки вылезали при игре с deny в ACLах для NATа.
> Попробуй написать такой же лист с другим названием и скормить его nat0.
да , именно так  я и сделал.
и  nat0 приняла его без проблем.
причем я нашел в инете, что такие странности, с пропаданием строчки nat (inside) 0, были не только у меня.
но у меня никаких "игр с deny", и вообще каких либо изменений конфигурации, у меня не было.
все что было , это отключение питания. И хотя естественно, перед выключение питания все было сохранено в memory, после загрузки строка  nat (inside) 0 пропала из конфигурации. Просто я это обнаружил не сразу.
вот такие странности.
спасибо за подсказку, не смотря на то, что я уже решил эту странную задачку.