forum.opennet.ru - "NAT на ASA5510 - проблема с настройкой" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"NAT на ASA5510 - проблема с настройкой"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NAT на ASA5510 - проблема с настройкой"	+/–
Сообщение от Gustaf (ok) on 10-Ноя-11, 12:23
Здравствуйте! В конфигурации running-config "пропала" строка nat (inside) 0 access-list inside_nat0_outbound (определено было в сравнении с предыдущей рабочей конфигурацией) access-list inside_nat0_outbound в конфигурации присутсвует: access-list inside_nat0_outbound extended permit ip any 172.22.8.208 255.255.255.240 Конфигурированием занимался очень давно, поэтому прошу сильно не бить и прошу помощи. при вводе команды nat (inside) 0 access-list inside_nat0_outbound получаю ERROR: access-list has protocol or port что не так делаю? подскажите пожалуйста.
Ответить \| Правка \| Cообщить модератору

Оглавление

NAT на ASA5510 - проблема с настройкой, Seva, 14:44 , 10-Ноя-11, (1)
NAT на ASA5510 - проблема с настройкой, Seva, 14:50 , 10-Ноя-11, (2)

NAT на ASA5510 - проблема с настройкой, Gustaf, 15:35 , 10-Ноя-11, (3)

NAT на ASA5510 - проблема с настройкой, Seva, 15:42 , 10-Ноя-11, (4)

NAT на ASA5510 - проблема с настройкой, sTALK_specTrum, 07:46 , 11-Ноя-11, (5)

NAT на ASA5510 - проблема с настройкой, Gustaf, 11:35 , 11-Ноя-11, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "NAT на ASA5510 - проблема с настройкой" +/–

Сообщение от Seva (??) on 10-Ноя-11, 14:44

У вас скорее всего новый IOS 8.3 и выше
различия следующие:

8.2 > NAT exemption used for VPN purposes (i.e. No NAT):
access-list NAT_EXEMPT_OUTBOUND extended  permit ip 10.10.10.0 255.255.255.0 ip 192.168.245.0 255.255.255.0
!
nat (inside) 0  access-list NAT_EXEMPT_OUTBOUND
!
!
!
8.3 > NAT exemption used for VPN purposes (i.e. No NAT):
object network INSIDE_HOSTS-10.10.10.0
subnet 10.10.10.0 255.255.255.0
!
object network RAVPN_HOSTS-192.168.245.0
subnet 192.168.245.0 255.255.255.0
!
nat (inside,outside) source static INSIDE_HOSTS-10.10.10.0 INSIDE_HOSTS-10.10.10.0  destination static RAVPN_HOSTS-192.168.245.0 RAVPN_HOSTS-192.168.245.0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "NAT на ASA5510 - проблема с настройкой" +/–

Сообщение от Seva (??) on 10-Ноя-11, 14:50

или ещё проще
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network obj_any
nat (inside,outside) dynamic interface

это NAT по умолчанию на асах 8.3 и выше

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "NAT на ASA5510 - проблема с настройкой" +/–

Сообщение от Gustaf (ok) on 10-Ноя-11, 15:35

Спасибо за ответ.
у меня версия
ASA Version 7.2(2)
вопрос в том, что ничего не менялось. а из конфигурации пропала одна строка.
( хотя сам знаю что ничего просто так не происходит).
тем не менее, раньше было:
nat (inside) 0 access-list inside_nat0_outbound
а сейчас я не могу внести это в конфигурацию :(
получаю вышеуказанную ошибку.
в связи с отсутвием это йстроки не работает VPN.
в логах:
No translation group found for icmp src outside:172.22.1.219 dst inside:172.22.1.23 (type 8, code 0)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "NAT на ASA5510 - проблема с настройкой" +/–

Сообщение от Seva (??) on 10-Ноя-11, 15:42

обновите IOS

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "NAT на ASA5510 - проблема с настройкой" +/–

Сообщение от sTALK_specTrum on 11-Ноя-11, 07:46

Помнится, подобные глюки вылезали при игре с deny в ACLах для NATа.
Попробуй написать такой же лист с другим названием и скормить его nat0.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "NAT на ASA5510 - проблема с настройкой" +/–

Сообщение от Gustaf (ok) on 11-Ноя-11, 11:35

> Помнится, подобные глюки вылезали при игре с deny в ACLах для NATа.
> Попробуй написать такой же лист с другим названием и скормить его nat0.
да , именно так  я и сделал.
и  nat0 приняла его без проблем.
причем я нашел в инете, что такие странности, с пропаданием строчки nat (inside) 0, были не только у меня.
но у меня никаких "игр с deny", и вообще каких либо изменений конфигурации, у меня не было.
все что было , это отключение питания. И хотя естественно, перед выключение питания все было сохранено в memory, после загрузки строка  nat (inside) 0 пропала из конфигурации. Просто я это обнаружил не сразу.
вот такие странности.
спасибо за подсказку, не смотря на то, что я уже решил эту странную задачку.


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT на ASA5510 - проблема с настройкой"	+/–
Сообщение от Seva (??) on 10-Ноя-11, 14:44
У вас скорее всего новый IOS 8.3 и выше различия следующие: 8.2 > NAT exemption used for VPN purposes (i.e. No NAT): access-list NAT_EXEMPT_OUTBOUND extended permit ip 10.10.10.0 255.255.255.0 ip 192.168.245.0 255.255.255.0 ! nat (inside) 0 access-list NAT_EXEMPT_OUTBOUND ! ! ! 8.3 > NAT exemption used for VPN purposes (i.e. No NAT): object network INSIDE_HOSTS-10.10.10.0 subnet 10.10.10.0 255.255.255.0 ! object network RAVPN_HOSTS-192.168.245.0 subnet 192.168.245.0 255.255.255.0 ! nat (inside,outside) source static INSIDE_HOSTS-10.10.10.0 INSIDE_HOSTS-10.10.10.0 destination static RAVPN_HOSTS-192.168.245.0 RAVPN_HOSTS-192.168.245.0
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "NAT на ASA5510 - проблема с настройкой"	+/–
Сообщение от Seva (??) on 10-Ноя-11, 14:50
или ещё проще object network obj_any subnet 0.0.0.0 0.0.0.0 object network obj_any nat (inside,outside) dynamic interface это NAT по умолчанию на асах 8.3 и выше
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "NAT на ASA5510 - проблема с настройкой"	+/–
	Сообщение от Gustaf (ok) on 10-Ноя-11, 15:35
	Спасибо за ответ. у меня версия ASA Version 7.2(2) вопрос в том, что ничего не менялось. а из конфигурации пропала одна строка. ( хотя сам знаю что ничего просто так не происходит). тем не менее, раньше было: nat (inside) 0 access-list inside_nat0_outbound а сейчас я не могу внести это в конфигурацию :( получаю вышеуказанную ошибку. в связи с отсутвием это йстроки не работает VPN. в логах: No translation group found for icmp src outside:172.22.1.219 dst inside:172.22.1.23 (type 8, code 0)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "NAT на ASA5510 - проблема с настройкой"	+/–
	Сообщение от Seva (??) on 10-Ноя-11, 15:42
	обновите IOS
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "NAT на ASA5510 - проблема с настройкой"	+/–
Сообщение от sTALK_specTrum on 11-Ноя-11, 07:46
Помнится, подобные глюки вылезали при игре с deny в ACLах для NATа. Попробуй написать такой же лист с другим названием и скормить его nat0.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "NAT на ASA5510 - проблема с настройкой"	+/–
	Сообщение от Gustaf (ok) on 11-Ноя-11, 11:35
	> Помнится, подобные глюки вылезали при игре с deny в ACLах для NATа. > Попробуй написать такой же лист с другим названием и скормить его nat0. да , именно так я и сделал. и nat0 приняла его без проблем. причем я нашел в инете, что такие странности, с пропаданием строчки nat (inside) 0, были не только у меня. но у меня никаких "игр с deny", и вообще каких либо изменений конфигурации, у меня не было. все что было , это отключение питания. И хотя естественно, перед выключение питания все было сохранено в memory, после загрузки строка nat (inside) 0 пропала из конфигурации. Просто я это обнаружил не сразу. вот такие странности. спасибо за подсказку, не смотря на то, что я уже решил эту странную задачку.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору