The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Помогите настроить ASA, !*! Ajavrik, 19-Дек-13, 09:03  [смотреть все]
Доброго времени суток.
Есть:
Hardware:   ASA5512
Cisco Adaptive Security Appliance Software Version 9.1(1)

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.160.100.250 255.0.0.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 172.16.101.50 255.255.0.0

route outside 0.0.0.0 0.0.0.0 172.16.0.2

В 10 сети имеются машины и два роутера 10.160.100.250 и 10.160.100.1

в инет все ходят через ASA 10.160.100.250, а за 10.160.100.1 есть сеть 10.10.0.0/16
дефолтом у всех установлен .100.250
Как правильно прописать маршруты и access-list на ASA к сети 10.10.0.0/16?
10.160.100.1 трогать не могу - не мой, на клиентах статику тоже нельзя.

Прописал
route inside 10.10.0.0 255.255.0.0 10.160.100.1
access-list TEST extended permit tcp any any
access-group TEST in interface inside
access-group TEST out interface inside


Помогите кто знает.

Ответить | Сообщить модератору
  • Помогите настроить ASA, !*! jabbson, 15:50 , 19-Дек-13 (1)
    > а за 10.160.100.1 есть сеть 10.10.0.0/16

    Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?

    Ответить | Сообщить модератору
    • Помогите настроить ASA, !*! Ajavrik, 16:18 , 19-Дек-13 (2)
      >> а за 10.160.100.1 есть сеть 10.10.0.0/16
      > Я правильно понимаю, что Вы хотите сказать, что один из интерфейсов роутера
      > имеет адрес 10.160.100.1 (255.0.0.0), а другой из сети 10.10.0.0 255.255.0.0?

      Я сильно ошибся в конфигурации, извиняюсь
      правильно так:
      interface GigabitEthernet0/0
      nameif inside
      security-level 100
      ip address 10.160.100.250 255.255.255.0

      Это сути дела не поменяло и я дальше разобрался, спасибо.
      Если кого интересует то бубен был таков:
      В ASA на интерфейсах с одинаковыми security-level для маршрутизации надо прописывать
      same-security-traffic permit inter-interface
      same-security-traffic permit intra-interface

      Но и так не заработало. Запустил tcpdump на машине и увидел что пакеты идут, но на пакет syn win от сервера за вторым маршрутизатором моя машина дает rst.
      Я думаю что возвращается не правильная последовательность т.к. уходят пакеты через ASA, а приходят с другого маршрутизатора.
      Эту проблему решил поставив NAT и на внутренний интерфейс.
      Вроде все заработало как мне надо.
      Может это и через зад, но работает. Если кто разобрался в моей схеме и знает как сделать проще - приму предложение.


      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру