https://www.opennet.dev/openforum/vsluhforumID6/16190.html Добрый день! Не работает icmp lan -&gt; asa -&gt; internet.<br><br>Глобально:<br>icmp permit any echo outside<br>icmp permit any traceroute outside<br>icmp permit any echo inside<br>icmp permit any traceroute inside<br>icmp permit any echo dmz<br>icmp permit any traceroute dmz<br><br>inside:<br>access-list 101 extended permit icmp 192.168.60.0 255.255.255.0 any echo<br>access-list 101 extended permit icmp 192.168.60.0 255.255.255.0 any traceroute<br><br>outside:<br>access-list 102 extended permit icmp any any echo<br>access-list 102 extended permit icmp any any traceroute<br><br>При таких настройках не работает пинг ни с асы, ни из локалки. Если сделать inspect icmp - пинг работает, traceroute показывает только последний хоп. Если не сложно - объясните механизм работы ASA с icmp.<br> https://www.opennet.dev/openforum/vsluhforumID6/16190.html#5 Mon, 05 May 2008 15:06:08 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Пинги ходят, трасса - нет.. <br>&gt;&gt;<br>&gt;&gt;Добавь только на внешний интерфейс на вход <br>&gt;&gt;<br>&gt;&gt;access-list outside_access_in extended permit icmp any any echo-reply <br>&gt;&gt;access-list outside_access_in extended permit icmp any any time-exceeded <br>&gt;<br>&gt;Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без <br>&gt;traceroute работает.. <br><br>Даже не так, А вот так, <br>оставь только <br>access-list outside_access_in extended permit icmp any any time-exceeded<br>и включи <br> inspect icmp <br> inspect icmp error <br>что бы были пинги<br><br>&gt;Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без <br>&gt;traceroute работает.. <br><br>прочитай как работает traceroute и прочитай типы сообщений ICMP и все станет ясно<br> https://www.opennet.dev/openforum/vsluhforumID6/16190.html#4 Mon, 05 May 2008 14:28:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;access-list xxx extended permit icmp any any echo-reply <br>&gt;&gt;<br>&gt;&gt;И убил inspect icmp. <br>&gt;&gt;<br>&gt;&gt;Пинги ходят, трасса - нет.. <br>&gt;<br>&gt;Добавь только на внешний интерфейс на вход <br>&gt;<br>&gt;access-list outside_access_in extended permit icmp any any echo-reply <br>&gt;access-list outside_access_in extended permit icmp any any time-exceeded <br><br>Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без traceroute работает..<br> https://www.opennet.dev/openforum/vsluhforumID6/16190.html#3 Mon, 05 May 2008 13:42:27 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Сейчас на всех интерфейсах сделал <br>&gt;<br>&gt;access-list xxx extended permit icmp any any echo <br>&gt;access-list xxx extended permit icmp any any traceroute <br>&gt;access-list xxx extended permit icmp any any echo-reply <br>&gt;<br>&gt;И убил inspect icmp. <br>&gt;<br>&gt;Пинги ходят, трасса - нет.. <br><br>Добавь только на внешний интерфейс на вход<br><br>access-list outside_access_in extended permit icmp any any echo-reply <br>access-list outside_access_in extended permit icmp any any time-exceeded <br> https://www.opennet.dev/openforum/vsluhforumID6/16190.html#2 Mon, 05 May 2008 11:19:02 GMT &gt;inspect icmp error <br><br>Сейчас на всех интерфейсах сделал <br><br>access-list xxx extended permit icmp any any echo<br>access-list xxx extended permit icmp any any traceroute<br>access-list xxx extended permit icmp any any echo-reply<br><br>И убил inspect icmp.<br><br>Пинги ходят, трасса - нет..<br> https://www.opennet.dev/openforum/vsluhforumID6/16190.html#1 Mon, 05 May 2008 11:01:56 GMT inspect icmp error<br><br><br>