Добрый день всем!
Настраиваю Cisco ASA.
Пытаюсь открыть icmp для пингов из в интернет (INTERNET) из локалки (LAN)
открыл icmp во всех access-list и на входе и на выходе.
Но пинги из LAN не идут.
Packet tracer показал что при пинге из LAN (10.53.0.0) пакеты дропаются на следующей стадии:
Phase: 8
Type: NAT
Subtype:
Result: DROP
Config:
nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
Additional Information:
В чем может быть проблема? чем icmp не понравилcя NAT?
разрешить надо, конфигу в студию...
> разрешить надо, конфигу в студию...!
interface Ethernet0/0
description INTERNET
speed 100
duplex full
nameif INTERNET
security-level 0
ip address @@@@@@@@@@@@@@@@@@@@@@
!
interface Ethernet0/1
description LAN
speed 100
duplex full
nameif LAN
security-level 100
ip address 10.53.0.1 255.255.0.0
object network Net_10.53.0.0
subnet 10.53.0.0 255.255.0.0
object network HOST-FOR-PING
host 82.144.65.46object-group icmp-type PING
icmp-object echo
icmp-object echo-reply
icmp-object unreachableaccess-list LAN_access_in extended permit icmp any any object-group PING
access-list INTERNET_access_in extended permit icmp any object Net_10.53.0.0 object-group PING
nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
access-group LAN_access_in in interface LAN
access-group INTERNET_access_in in interface INTERNET
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect icmp error
service-policy global_policy global
http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
и таки надо убрать object-group icmp-type PING и всё что с ним связано...
> и таки надо убрать object-group icmp-type PING и
> всё что с ним связано...Все сделал как написано.
сейчас конфиг тот же, только без object-group icmp-type PING
и плюс еще две строчкиaccess-list INTERNET_access_in extended permit icmp any any echo
access-list LAN_access_in extended permit icmp any any echo
ситуация не изменилась. тоже самое. Пинги с INTERNET интерфейса идут, а с LAN интерфейса нет.
> access-list LAN_access_in extended permit icmp any any echoвы уверены что вам надо из локальной сети разрешить только echo?
>> access-list LAN_access_in extended permit icmp any any echo
> вы уверены что вам надо из локальной сети разрешить только echo?В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
написано именно так..
>>> access-list LAN_access_in extended permit icmp any any echo
>> вы уверены что вам надо из локальной сети разрешить только echo?
> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
> написано именно так..там написано именно так для входящего трафика на внешнем интерфейсе, а не для входящего на внутреннем. Как говорится "почувствуйте разницу".
>>>> access-list LAN_access_in extended permit icmp any any echo
>>> вы уверены что вам надо из локальной сети разрешить только echo?
>> В этой инструкции http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...
>> написано именно так..
> там написано именно так для входящего трафика на внешнем интерфейсе, а не
> для входящего на внутреннем. Как говорится "почувствуйте разницу".Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для входящего на внешнем интерфейсе то из LAN пакеты не уйдут на внешний интерфейс. Или я ошибаюсь? :)))
> Разрешать нужно с обеих сторон, чтобы пинги проходили. Если разрешить только для
> входящего на внешнем интерфейсе то из LAN пакеты не уйдут на
> внешний интерфейс. Или я ошибаюсь? :)))Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для теста. В ASA с более защищенного в менее защищенный интерфейс пропускает все.
ну давайте не применительно к пингам сейчас.
Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт к примеру, согласно вашему правилу any any eq такойто. И на входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно все тому же вашему правилу.
Но ведь echo это ответ. Или нет?
>[оверквотинг удален]
>> внешний интерфейс. Или я ошибаюсь? :)))
> Вообще у вас inspect настроен, поэтому лист можно не писать вообще, для
> теста. В ASA с более защищенного в менее защищенный интерфейс пропускает
> все.
> ну давайте не применительно к пингам сейчас.
> Входящий лист на внешнем инетрфейсе разрешаем на вход из инета 80 порт
> к примеру, согласно вашему правилу any any eq такойто. И на
> входящем локальном интерфейсе мы разрешаем из локалки на 80 порт, согласно
> все тому же вашему правилу.
> Но ведь echo это ответ. Или нет?Да, ответ.
Таким образом у меня ничего не ограничивает пинги из LAN, да и ответы (согласно прописаным мною настройкам) должны проходить..... однако!
Вот собственно и жду помощи.
>> Но ведь echo это ответ. Или нет?
> Да, ответ.
> Таким образом у меня ничего не ограничивает пинги из LAN, да и
> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
> Вот собственно и жду помощи.
>access-list LAN_access_in extended permit icmp any any echoто есть согласно вашему правилу из лан вы пропускаете ответ, а все остальное запрещаете. Или я где-то пропустил остальные правила?
Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
>>> Но ведь echo это ответ. Или нет?
>> Да, ответ.
>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>> Вот собственно и жду помощи.
>>access-list LAN_access_in extended permit icmp any any echo
> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
> остальное запрещаете. Или я где-то пропустил остальные правила?
> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any anyПрописал. Не помогло.
>>>> Но ведь echo это ответ. Или нет?
>>> Да, ответ.
>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>>> Вот собственно и жду помощи.
>>>access-list LAN_access_in extended permit icmp any any echo
>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
>> остальное запрещаете. Или я где-то пропустил остальные правила?
>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
> Прописал. Не помогло.версия софта у вас какая?
И вообще для начала предлагаю просто разрешить весь icmp траффик
>[оверквотинг удален]
>>>> Таким образом у меня ничего не ограничивает пинги из LAN, да и
>>>> ответы (согласно прописаным мною настройкам) должны проходить..... однако!
>>>> Вот собственно и жду помощи.
>>>>access-list LAN_access_in extended permit icmp any any echo
>>> то есть согласно вашему правилу из лан вы пропускаете ответ, а все
>>> остальное запрещаете. Или я где-то пропустил остальные правила?
>>> Давайте тогда начнем с access-list LAN_access_in extended permit icmp any any
>> Прописал. Не помогло.
> версия софта у вас какая?
> И вообще для начала предлагаю просто разрешить весь icmp траффикТак вот в том то и вопрос, что трафик icmp ничем не запрещен!
Или я что то упустил в конфиге?
Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.
> Так вот в том то и вопрос, что трафик icmp ничем
> не запрещен!
> Или я что то упустил в конфиге?
> Сейчас с интерфейса INTERNET все пингуется, а с LAN нет.версия софта не понятна, но давайте мы ваше правило nat удалим и сделаем
object network Net_10.53.0.0
subnet 10.53.0.0 255.255.0.0
nat (LAN,INTERNET) dynamic interfaceи снова пропустим packet-tracer
Cisco Adaptive Security Appliance Software Version 8.4(3)
Device Manager Version 6.4(7)А сейчас вроде прописано тоже самое?
Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> Cisco Adaptive Security Appliance Software Version 8.4(3)
> Device Manager Version 6.4(7)
> А сейчас вроде прописано тоже самое?
> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interfaceно при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/... вот инструкция по nat
>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>> Device Manager Version 6.4(7)
>> А сейчас вроде прописано тоже самое?
>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> но при этом вам packet-tracer дроп показывает. http://www.cisco.com/en/US/customer/docs/security/asa/asa84/...
> вот инструкция по natИ нерабочая ссылка.
> Cisco Adaptive Security Appliance Software Version 8.4(3)
> Device Manager Version 6.4(7)
> А сейчас вроде прописано тоже самое?
> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interfaceссылка логин хочет...
>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>> Device Manager Version 6.4(7)
>> А сейчас вроде прописано тоже самое?
>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
> ссылка логин хочет...тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или нет, ваше дело.
>>> Cisco Adaptive Security Appliance Software Version 8.4(3)
>>> Device Manager Version 6.4(7)
>>> А сейчас вроде прописано тоже самое?
>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
>> ссылка логин хочет...
> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или
> нет, ваше дело.Делать нат или не делать? :)))
Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA?
Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной проблемы. Скорее всего только на способ решения.
>[оверквотинг удален]
>>>> Device Manager Version 6.4(7)
>>>> А сейчас вроде прописано тоже самое?
>>>> Только nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
>>> ссылка логин хочет...
>> тогда у меня открывается нерабочая. Пример nat я вам привел. Делать или
>> нет, ваше дело.
> Делать нат или не делать? :)))
> Вообще то изначально я обратился с проблемой настройки прохождения пингов через ASA?
> Думаю вряд ли наличие или отсутствие NAT влияет на возможность решения данной
> проблемы. Скорее всего только на способ решения.у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то в инете, надо иметь белый айпи. У вас в сети серый, значит вам надо натить. Так что делать или нет решать вам
> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то
> в инете, надо иметь белый айпи. У вас в сети серый,
> значит вам надо натить. Так что делать или нет решать вамЭто понятно что надо натить! И это и сделано! И в моем конфиге нат уже есть!
Только я не понимаю почему вы рекомендуете снести NAT который уже настроен и настроить какой то другой? по моему в моих настройках NATа нигде ping явно не запрещен!
Я как раз и хочу разобраться, чем ping уже настроенному NAT не нравится?
>> у вас packet tracer дропается на NAT. Для того чтобы пинговать что-то
>> в инете, надо иметь белый айпи. У вас в сети серый,
>> значит вам надо натить. Так что делать или нет решать вам
> Это понятно что надо натить! И это и сделано! И в моем
> конфиге нат уже есть!
> Только я не понимаю почему вы рекомендуете снести NAT который уже настроен
> и настроить какой то другой? по моему в моих настройках NATа
> нигде ping явно не запрещен!
> Я как раз и хочу разобраться, чем ping уже настроенному NAT не
> нравится?Кто нибудь знает что именно делает строка:
nat (LAN,INTERNET) after-auto source dynamic Net_10.53.0.0 interface
И почему пинги из за нее (как выяснилось) не ходят.
Натирование портов тут вроде бы не включено...