https://opennet.me/openforum/vsluhforumID6/18916.html Здравствуйте господа!<br>Подскажите пожалуйста где я не прав.<br>Есть ASA5510, есть два интерфейса:<br><br>аутсайд: ip address 195.68.*.218 255.255.255.240 <br>инстайд: ip address 10.0.0.100 255.255.255.0 <br><br>Есть ACL на обоих интерфейсах:<br>permit ip any any<br>permit icmp any any<br><br>Есть стандартный маршрут к провайдеру: <br>route outside 0.0.0.0 0.0.0.0 195.68.*.209 1<br><br>И стандартная трансляция:<br>nat-control <br>global (outside) 1 interface<br>nat (inside) 1 0.0.0.0 0.0.0.0<br><br>Всё работает отлично, машины из инсайда спокойно ходят в Интернет, но есть задача сделать одну из машин в инсайде доступной из Интернет, делаю:<br><br>static (inside,outside) 195.68.*.211 10.10.0.11 netmask 255.255.255.255 <br><br>И после этого машина 10.10.0.11 перестаёт ходить и даже пинговать Интернет сервера; снаружи тоже недоступна.<br>Бред какой-то, уже начинаю грешить на внешний коммутатор 3Com.<br> https://opennet.me/openforum/vsluhforumID6/18916.html#8 Thu, 21 May 2009 11:32:51 GMT <br>&gt;Похоже с ARP какая-та проблема. <br><br>Так командочку no sysopt noproxy попробовали?<br><br>&gt;&gt;аутсайд: ip address 195.68.*.218 255.255.255.240<br>&gt;&gt;route outside 0.0.0.0 0.0.0.0 195.68.*.209 1 <br><br>Я имею в виду, что адрес 195.68.*.218 255.255.255.240 находится в другой сети, нежели 195.68.*.209. Как оно работает то?<br> https://opennet.me/openforum/vsluhforumID6/18916.html#7 Thu, 21 May 2009 10:36:02 GMT &gt;попробуй вот так с привязкой к интерфейсу. на 100% после interface <br>&gt;не уверен <br>&gt;<br>&gt;static (inside,outside) interface 10.10.0.11 netmask 255.255.255.255 <br><br>Нет, так не пойдёт, надо отдельный уникальный адрес, а с привязкой к интерфейсу вообще статик не нужен, всё и так туда идёт: global (outside) 1 interface<br><br>Похоже с ARP какая-та проблема.<br><br><br> https://opennet.me/openforum/vsluhforumID6/18916.html#6 Thu, 21 May 2009 10:26:51 GMT <br>&gt;Бред какой-то, уже начинаю грешить на внешний коммутатор 3Com. <br><br>попробуй вот так с привязкой к интерфейсу. на 100% после interface не уверен<br><br>static (inside,outside) interface 10.10.0.11 netmask 255.255.255.255 <br><br><br><br> https://opennet.me/openforum/vsluhforumID6/18916.html#5 Thu, 21 May 2009 09:56:15 GMT &gt;А чего Вы, собственно, командой static в таком виде хотите добиться? <br>&gt;В том виде, в котором она написано оно работает таким образом: <br>&gt;Адрес 10.10.0.11 статически натится в адрес 195.68.*.211 и все. Кто такой 195.68.*.211 <br>&gt;Вам видней... <br><br>Дык мне это и надо. <br>195.68.*.211 это реальный Интернет-адрес выданный провайдером, а надо чтобы по обращению из Интернет на этот адрес пакеты приходили в инсайд на 10.10.0.11 и наоборот.<br> https://opennet.me/openforum/vsluhforumID6/18916.html#4 Thu, 21 May 2009 09:37:01 GMT &gt;аутсайд: ip address 195.68.*.218 255.255.255.240 <br>&gt;инстайд: ip address 10.0.0.100 255.255.255.0 <br>&gt;<br>&gt;static (inside,outside) 195.68.*.211 10.10.0.11 netmask 255.255.255.255 <br>&gt;<br>&gt;И после этого машина 10.10.0.11 перестаёт ходить и даже пинговать Интернет сервера; <br>&gt;снаружи тоже недоступна. <br>&gt;Бред какой-то, уже начинаю грешить на внешний коммутатор 3Com. <br><br>А чего Вы, собственно, командой static в таком виде хотите добиться?<br>В том виде, в котором она написано оно работает таким образом:<br>Адрес 10.10.0.11 статически натится в адрес 195.68.*.211 и все. Кто такой 195.68.*.211 Вам видней...<br><br> https://opennet.me/openforum/vsluhforumID6/18916.html#3 Thu, 21 May 2009 09:26:31 GMT Забыл добавить важную деталь: внешний Интернет-сервер, который имеет реальный адрес и воткнут во внешний коммутатор 3Com (туда же куда аутсайд ASA) доступен с 10.10.0.11, а все другие Интернет-сервера (за провайдером) недоступны.<br> https://opennet.me/openforum/vsluhforumID6/18916.html#2 Thu, 21 May 2009 08:46:52 GMT &gt;&gt;аутсайд: ip address 195.68.*.218 255.255.255.240 <br>&gt;&gt;route outside 0.0.0.0 0.0.0.0 195.68.*.209 1 <br>&gt;<br>&gt;Это шутко такое? <br><br>Нет, не шутка, сеть такая реальных Интернет-адресов, не путать с 192.68....<br><br>Подскажи пожалуйста, а что даст: no sysopt no-proxyarp ? <br><br><br><br><br> https://opennet.me/openforum/vsluhforumID6/18916.html#1 Thu, 21 May 2009 08:05:43 GMT no sysopt no-proxyarp<br><br><br><br>&gt;аутсайд: ip address 195.68.*.218 255.255.255.240 <br>&gt;route outside 0.0.0.0 0.0.0.0 195.68.*.209 1 <br><br>Это шутко такое?<br>