forum.opennet.ru - "нет ping через ASA" (16)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"нет ping через ASA"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"нет ping через ASA"	+/–
Сообщение от dmoseev (ok) on 03-Окт-12, 23:40
Помогите, пожалуйста. Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на outside.
Ответить \| Правка \| Cообщить модератору

Оглавление

нет ping через ASA, crash, 07:49 , 04-Окт-12, (1)

нет ping через ASA, dmoseev, 15:52 , 04-Окт-12, (2)

нет ping через ASA, crash, 16:42 , 04-Окт-12, (3)

нет ping через ASA, dmoseev, 18:18 , 04-Окт-12, (4)

нет ping через ASA, crash, 18:26 , 04-Окт-12, (5)

нет ping через ASA, dmoseev, 18:46 , 04-Окт-12, (6)

нет ping через ASA, crash, 19:14 , 04-Окт-12, (7)

нет ping через ASA, crash, 19:37 , 04-Окт-12, (8)
нет ping через ASA, dmoseev, 19:37 , 04-Окт-12, (9)

нет ping через ASA, crash, 19:39 , 04-Окт-12, (10)

нет ping через ASA, dmoseev, 20:02 , 04-Окт-12, (11)

нет ping через ASA, dmoseev, 20:05 , 04-Окт-12, (12)

нет ping через ASA, dmoseev, 20:09 , 04-Окт-12, (13)
нет ping через ASA, crash, 20:12 , 04-Окт-12, (14)
нет ping через ASA, dmoseev, 20:30 , 04-Окт-12, (15)
нет ping через ASA, crash, 06:16 , 05-Окт-12, (16)

Сообщения по теме [Сортировка по времени | RSS]

1. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 07:49

> Помогите, пожалуйста.
> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
> outside.
inspect icmp есть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 15:52

>> Помогите, пожалуйста.
>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>> outside.
> inspect icmp есть?
нет

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 16:42

>>> Помогите, пожалуйста.
>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>> outside.
>> inspect icmp есть?
> нет
значит надо добавить в настройках inspect

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 18:18

>>>> Помогите, пожалуйста.
>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>>> outside.
>>> inspect icmp есть?
>> нет
> значит надо добавить в настройках inspect
При добавлении inspect icmp пинга также нет.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 18:26

>>>>> Помогите, пожалуйста.
>>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>>>> outside.
>>>> inspect icmp есть?
>>> нет
>> значит надо добавить в настройках inspect
> При добавлении inspect icmp пинга также нет.
тогда конфиг в студию.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 18:46

>>>>>> Помогите, пожалуйста.
>>>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на
>>>>>> outside.
>>>>> inspect icmp есть?
>>>> нет
>>> значит надо добавить в настройках inspect
>> При добавлении inspect icmp пинга также нет.
> тогда конфиг в студию.
ASA Version 8.4(4)
!
hostname asa-yyyynorth
domain-name YYYYnorth.ru
enable password RqKo/szXbySEYF5P encrypted
passwd RqKo/szXbySEYF5P encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 212.188.58.xxx 255.255.255.224
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.5.10 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa844-k8.bin
ftp mode passive
clock timezone AQTST 4
dns server-group DefaultDNS
name-server 212.188.4.10
name-server 195.34.32.116
domain-name yyyynorth.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network onj_inside
subnet 192.168.5.0 255.255.255.0
object-group icmp-type Ping
icmp-object echo
icmp-object echo-reply
access-list outside_access_in extended permit icmp any host 212.188.58.xxx
access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-649.bin
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface dns
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 212.188.58.xxx 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.5.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
  quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 62.117.76.139 source outside prefer
webvpn
username dmoseev password hF.Whd0iz7Dyq6GP encrypted privilege 15
!
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
!
prompt hostname context
call-home reporting anonymous
call-home
profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:ae5f041e2042d22337079ccfedb1e925
: end

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 19:14

>[оверквотинг удален]
>object network obj_any
>subnet 0.0.0.0 0.0.0.0
> object network onj_inside
>  subnet 192.168.5.0 255.255.255.0
> object network obj_any
>  nat (inside,outside) dynamic interface dns
вижу nat для подсети 0.0.0.0 (obj_any), а где же nat для subnet 192.168.5.0 255.255.255.0 (onj_inside)?
ну и добавить, например
policy-map global_policy
class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
  inspect http
  inspect pptp
  inspect icmp
  inspect dns preset_dns_map

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 19:37

и еще добавить service-policy global_policy global

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 19:37

ASA Version 8.4(4)
!
hostname asa-yyyynorth
domain-name yyyynorth.ru
enable password RqKo/szXbySEYF5P encrypted
passwd RqKo/szXbySEYF5P encrypted
names
dns-guard
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 212.188.58.xxx 255.255.255.224
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.5.10 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
boot system disk0:/asa844-k8.bin
ftp mode passive
clock timezone AQTST 4
dns server-group DefaultDNS
name-server 212.188.4.10
name-server 195.34.32.116
domain-name yyyynorth.ru
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object-group icmp-type Ping
icmp-object echo
icmp-object echo-reply
access-list outside_access_in extended permit icmp any host 212.188.58.xxx
access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-649.bin
no asdm history enable
arp timeout 14400
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 212.188.58.xxx 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
no user-identity enable
user-identity default-domain LOCAL
aaa authentication http console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.5.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto ca certificate chain _SmartCallHome_ServerCA
certificate ca 6ecc7aa5a7032009b8cebcf4e952d491
  quit
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 62.117.76.139 source outside prefer
webvpn
username dmoseev password hF.Whd0iz7Dyq6GP encrypted privilege 15
!
class-map global-class
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global-policy
class global-class
  inspect icmp
!
service-policy global-policy global
prompt hostname context
call-home reporting anonymous
call-home
profile CiscoTAC-1
  no active
  destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
  destination address email callhome@cisco.com
  destination transport-method http
  subscribe-to-alert-group diagnostic
  subscribe-to-alert-group environment
  subscribe-to-alert-group inventory periodic monthly
  subscribe-to-alert-group configuration periodic monthly
  subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:1c11defbbf4cd427641b3fbe50be3949
: end
asa-yyyynorth# ping
TCP Ping [n]:
Interface: inside
Target IP address: 212.188.58.xxx
Repeat count: [5]
Datagram size: [100]
Timeout in seconds: [2]
Extended commands [n]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.188.58.xxx, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 19:39

вы хотите пинговать свой внешний интерфейс? А для чего это надо? С асы пинговать интерфейс асы? Смысл то в чем? Пингуйте уже тогда инетовский вдрес

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 20:02

> вы хотите пинговать свой внешний интерфейс? А для чего это надо? С
> асы пинговать интерфейс асы? Смысл то в чем? Пингуйте уже тогда
> инетовский вдрес
нужно для проверки ната!
Не вопрос.
C:\>nslookup ya.ru

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  213.180.204.3
          77.88.21.3
          87.250.250.3
          87.250.250.203
          87.250.251.3
          93.158.134.3
          93.158.134.203
          213.180.193.3

asa-yyyynorth# ping inside 77.88.21.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 77.88.21.3, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

ТАК ПРАВИЛЬНО?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 20:05

это из внешней сети
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 20:09

C:\>ping 77.88.21.3
Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
Ответ от 77.88.21.3: число байт=32 время=1мс TTL=55
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "нет ping через ASA" +/–

Сообщение от crash (ok) on 04-Окт-12, 20:12

> C:\>ping 77.88.21.3
> Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
> Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
> Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
> Ответ от 77.88.21.3: число байт=32 время=1мс TTL=55
> Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
ну так работает все. Вообще АСА внутри себя из локального интерфейса на внешний не пускает, насколько я помню.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "нет ping через ASA" +/–

Сообщение от dmoseev (ok) on 04-Окт-12, 20:30

Мне тоже хотелось чтобы работало!
PS C:\> ping 192.168.5.10
Обмен пакетами с 192.168.5.10 по с 32 байтами данных:
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255
Статистика Ping для 192.168.5.10:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0
    (0% потерь)
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
PS C:\> ping 77.88.21.3
Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
Ответ от 192.168.5.4: Заданный узел недоступен.
Превышен интервал ожидания для запроса.
Ответ от 192.168.5.4: Заданный узел недоступен.
Ответ от 192.168.5.4: Заданный узел недоступен.
Статистика Ping для 77.88.21.3:
    Пакетов: отправлено = 4, получено = 3, потеряно = 1
    (25% потерь)
PS C:\>
access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "нет ping через ASA" +/–

Сообщение от crash (ok) on 05-Окт-12, 06:16

> Мне тоже хотелось чтобы работало!
а это что?
C:\>ping 77.88.21.3
Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
пинги же идут?

>[оверквотинг удален]
> Обмен пакетами с 77.88.21.3 по с 32 байтами данных:
> Ответ от 192.168.5.4: Заданный узел недоступен.
> Статистика Ping для 77.88.21.3:
>     Пакетов: отправлено = 4, получено = 3, потеряно
> = 1
>     (25% потерь)
> PS C:\>
что такое 192.168.5.4? И настройки nat увидеть можно еще раз? Ну вывод команды packet-tracer

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "нет ping через ASA"	+/–
Сообщение от crash (ok) on 04-Окт-12, 07:49
> Помогите, пожалуйста. > Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на > outside. inspect icmp есть?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 15:52
	>> Помогите, пожалуйста. >> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на >> outside. > inspect icmp есть? нет
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 04-Окт-12, 16:42
	>>> Помогите, пожалуйста. >>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на >>> outside. >> inspect icmp есть? > нет значит надо добавить в настройках inspect
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 18:18
	>>>> Помогите, пожалуйста. >>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на >>>> outside. >>> inspect icmp есть? >> нет > значит надо добавить в настройках inspect При добавлении inspect icmp пинга также нет.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 04-Окт-12, 18:26
	>>>>> Помогите, пожалуйста. >>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на >>>>> outside. >>>> inspect icmp есть? >>> нет >> значит надо добавить в настройках inspect > При добавлении inspect icmp пинга также нет. тогда конфиг в студию.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 18:46
	>>>>>> Помогите, пожалуйста. >>>>>> Установил новую прошивку asa844-k8.bin на asa 5510 нет пинга с inside на >>>>>> outside. >>>>> inspect icmp есть? >>>> нет >>> значит надо добавить в настройках inspect >> При добавлении inspect icmp пинга также нет. > тогда конфиг в студию. ASA Version 8.4(4) ! hostname asa-yyyynorth domain-name YYYYnorth.ru enable password RqKo/szXbySEYF5P encrypted passwd RqKo/szXbySEYF5P encrypted names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 212.188.58.xxx 255.255.255.224 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.5.10 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! boot system disk0:/asa844-k8.bin ftp mode passive clock timezone AQTST 4 dns server-group DefaultDNS name-server 212.188.4.10 name-server 195.34.32.116 domain-name yyyynorth.ru same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network obj_any subnet 0.0.0.0 0.0.0.0 object network onj_inside subnet 192.168.5.0 255.255.255.0 object-group icmp-type Ping icmp-object echo icmp-object echo-reply access-list outside_access_in extended permit icmp any host 212.188.58.xxx access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any pager lines 24 logging asdm informational mtu outside 1500 mtu inside 1500 mtu management 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-649.bin no asdm history enable arp timeout 14400 ! object network obj_any nat (inside,outside) dynamic interface dns access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 212.188.58.xxx 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy no user-identity enable user-identity default-domain LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL http server enable http 192.168.1.0 255.255.255.0 management http 192.168.5.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto ca certificate chain _SmartCallHome_ServerCA certificate ca 6ecc7aa5a7032009b8cebcf4e952d491 quit telnet timeout 5 ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 62.117.76.139 source outside prefer webvpn username dmoseev password hF.Whd0iz7Dyq6GP encrypted privilege 15 ! ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 ! prompt hostname context call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:ae5f041e2042d22337079ccfedb1e925 : end
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 04-Окт-12, 19:14
	>[оверквотинг удален] >object network obj_any >subnet 0.0.0.0 0.0.0.0 > object network onj_inside > subnet 192.168.5.0 255.255.255.0 > object network obj_any > nat (inside,outside) dynamic interface dns вижу nat для подсети 0.0.0.0 (obj_any), а где же nat для subnet 192.168.5.0 255.255.255.0 (onj_inside)? ну и добавить, например policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect http inspect pptp inspect icmp inspect dns preset_dns_map
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 04-Окт-12, 19:37
	и еще добавить service-policy global_policy global
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 19:37
	ASA Version 8.4(4) ! hostname asa-yyyynorth domain-name yyyynorth.ru enable password RqKo/szXbySEYF5P encrypted passwd RqKo/szXbySEYF5P encrypted names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 212.188.58.xxx 255.255.255.224 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.5.10 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address ! interface Ethernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! boot system disk0:/asa844-k8.bin ftp mode passive clock timezone AQTST 4 dns server-group DefaultDNS name-server 212.188.4.10 name-server 195.34.32.116 domain-name yyyynorth.ru same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network obj_any subnet 0.0.0.0 0.0.0.0 object-group icmp-type Ping icmp-object echo icmp-object echo-reply access-list outside_access_in extended permit icmp any host 212.188.58.xxx access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any pager lines 24 logging asdm informational mtu outside 1500 mtu inside 1500 mtu management 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-649.bin no asdm history enable arp timeout 14400 ! object network obj_any nat (inside,outside) dynamic interface access-group outside_access_in in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 212.188.58.xxx 1 timeout xlate 3:00:00 timeout pat-xlate 0:00:30 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy no user-identity enable user-identity default-domain LOCAL aaa authentication http console LOCAL aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL http server enable http 192.168.1.0 255.255.255.0 management http 192.168.5.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto ca certificate chain _SmartCallHome_ServerCA certificate ca 6ecc7aa5a7032009b8cebcf4e952d491 quit telnet timeout 5 ssh timeout 5 ssh key-exchange group dh-group1-sha1 console timeout 0 dhcpd address 192.168.1.2-192.168.1.254 management dhcpd enable management ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ntp server 62.117.76.139 source outside prefer webvpn username dmoseev password hF.Whd0iz7Dyq6GP encrypted privilege 15 ! class-map global-class match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global-policy class global-class inspect icmp ! service-policy global-policy global prompt hostname context call-home reporting anonymous call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:1c11defbbf4cd427641b3fbe50be3949 : end asa-yyyynorth# ping TCP Ping [n]: Interface: inside Target IP address: 212.188.58.xxx Repeat count: [5] Datagram size: [100] Timeout in seconds: [2] Extended commands [n]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 212.188.58.xxx, timeout is 2 seconds: ????? Success rate is 0 percent (0/5)
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 04-Окт-12, 19:39
	вы хотите пинговать свой внешний интерфейс? А для чего это надо? С асы пинговать интерфейс асы? Смысл то в чем? Пингуйте уже тогда инетовский вдрес
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 20:02
	> вы хотите пинговать свой внешний интерфейс? А для чего это надо? С > асы пинговать интерфейс асы? Смысл то в чем? Пингуйте уже тогда > инетовский вдрес нужно для проверки ната! Не вопрос. C:\>nslookup ya.ru Не заслуживающий доверия ответ: ╚ь : ya.ru Addresses: 213.180.204.3 77.88.21.3 87.250.250.3 87.250.250.203 87.250.251.3 93.158.134.3 93.158.134.203 213.180.193.3 asa-yyyynorth# ping inside 77.88.21.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 77.88.21.3, timeout is 2 seconds: ????? Success rate is 0 percent (0/5) ТАК ПРАВИЛЬНО?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 20:05
	это из внешней сети Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255 Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255 Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255 Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255 Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255 Ответ от 212.188.58.xxx: число байт=32 время<1мс TTL=255
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 20:09
	C:\>ping 77.88.21.3 Обмен пакетами с 77.88.21.3 по с 32 байтами данных: Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55 Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55 Ответ от 77.88.21.3: число байт=32 время=1мс TTL=55 Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 04-Окт-12, 20:12
	> C:\>ping 77.88.21.3 > Обмен пакетами с 77.88.21.3 по с 32 байтами данных: > Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55 > Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55 > Ответ от 77.88.21.3: число байт=32 время=1мс TTL=55 > Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55 ну так работает все. Вообще АСА внутри себя из локального интерфейса на внешний не пускает, насколько я помню.
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "нет ping через ASA"	+/–
	Сообщение от dmoseev (ok) on 04-Окт-12, 20:30
	Мне тоже хотелось чтобы работало! PS C:\> ping 192.168.5.10 Обмен пакетами с 192.168.5.10 по с 32 байтами данных: Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255 Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255 Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255 Ответ от 192.168.5.10: число байт=32 время<1мс TTL=255 Статистика Ping для 192.168.5.10: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек PS C:\> ping 77.88.21.3 Обмен пакетами с 77.88.21.3 по с 32 байтами данных: Ответ от 192.168.5.4: Заданный узел недоступен. Превышен интервал ожидания для запроса. Ответ от 192.168.5.4: Заданный узел недоступен. Ответ от 192.168.5.4: Заданный узел недоступен. Статистика Ping для 77.88.21.3: Пакетов: отправлено = 4, получено = 3, потеряно = 1 (25% потерь) PS C:\> access-list inside_access_in extended permit ip 192.168.5.0 255.255.255.0 any
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "нет ping через ASA"	+/–
	Сообщение от crash (ok) on 05-Окт-12, 06:16
	> Мне тоже хотелось чтобы работало! а это что? C:\>ping 77.88.21.3 Обмен пакетами с 77.88.21.3 по с 32 байтами данных: Ответ от 77.88.21.3: число байт=32 время=2мс TTL=55 пинги же идут? >[оверквотинг удален] > Обмен пакетами с 77.88.21.3 по с 32 байтами данных: > Ответ от 192.168.5.4: Заданный узел недоступен. > Статистика Ping для 77.88.21.3: > Пакетов: отправлено = 4, получено = 3, потеряно > = 1 > (25% потерь) > PS C:\> что такое 192.168.5.4? И настройки nat увидеть можно еще раз? Ну вывод команды packet-tracer
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору