https://www.opennet.me/openforum/vsluhforumID6/1149.html Доброго времени суток.<br>Есть:<br>Hardware: ASA5512<br>Cisco Adaptive Security Appliance Software Version 9.1(1)<br><br>interface GigabitEthernet0/0<br> nameif inside<br> security-level 100<br> ip address 10.160.100.250 255.0.0.0<br>!<br>interface GigabitEthernet0/1<br> nameif outside<br> security-level 0<br> ip address 172.16.101.50 255.255.0.0<br><br>route outside 0.0.0.0 0.0.0.0 172.16.0.2<br><br>В 10 сети имеются машины и два роутера 10.160.100.250 и 10.160.100.1<br><br>в инет все ходят через ASA 10.160.100.250, а за 10.160.100.1 есть сеть 10.10.0.0/16<br>дефолтом у всех установлен .100.250<br>Как правильно прописать маршруты и access-list на ASA к сети 10.10.0.0/16?<br>10.160.100.1 трогать не могу - не мой, на клиентах статику тоже нельзя.<br><br>Прописал <br>route inside 10.10.0.0 255.255.0.0 10.160.100.1<br>access-list TEST extended permit tcp any any<br>access-group TEST in interface inside<br>access-group TEST out interface inside<br><br><br>Помогите кто знает.<br> https://www.opennet.me/openforum/vsluhforumID6/1149.html#2 Thu, 19 Dec 2013 12:18:46 GMT &gt;&gt; а за 10.160.100.1 есть сеть 10.10.0.0/16 <br>&gt; Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера <br>&gt; имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?<br><br>Я сильно ошибся в конфигурации, извиняюсь<br>правильно так:<br>interface GigabitEthernet0/0<br>nameif inside<br>security-level 100<br>ip address 10.160.100.250 255.255.255.0<br><br>Это сути дела не поменяло и я дальше разобрался, спасибо.<br>Если кого интересует то бубен был таков:<br>В ASA на интерфейсах с одинаковыми security-level для маршрутизации надо прописывать <br>same-security-traffic permit inter-interface<br>same-security-traffic permit intra-interface<br><br>Но и так не заработало. Запустил tcpdump на машине и увидел что пакеты идут, но на пакет syn win от сервера за вторым маршрутизатором моя машина дает rst. <br>Я думаю что возвращается не правильная последовательность т.к. уходят пакеты через ASA, а приходят с другого маршрутизатора.<br>Эту проблему решил поставив NAT и на внутренний интерфейс.<br>Вроде все заработало как https://www.opennet.me/openforum/vsluhforumID6/1149.html#1 Thu, 19 Dec 2013 11:50:40 GMT &gt; а за 10.160.100.1 есть сеть 10.10.0.0/16<br><br>Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?<br>