https://slinkov.ru/openforum/vsluhforumID6/23857.html Доброе время суток!<br>Второй день бьюсь над проблемой и никак не могу победить. Суть вопроса:<br>Имеется:<br><br>Mod Ports Card Type Model <br>--- ----- -------------------------------------- ------------------ <br> 1 4 CEF720 4 port 10-Gigabit Ethernet WS-X6704-10GE <br> 2 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX <br> 3 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX <br> 4 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX <br> 5 2 Supervisor Engine 720 (Active) WS-SUP720-3BXL <br> 7 48 CEF720 48 port 10/100/1000mb Ethernet WS-X6748-GE-TX <br> 8 6 Firewall Module WS-SVC-FWM-1 <br> 9 6 Firewall Module WS-SVC-FWM-1 <br><br><br>upgrade fpd auto<br>version 12.2<br>no service pad<br>service tcp-keepalives-in<br>service tcp-keepalives-out<br>service timestamps debug uptime<br>service timestamps log datetime localtime<br>service password-encryption<br>servic https://slinkov.ru/openforum/vsluhforumID6/23857.html#8 Sat, 09 Jun 2012 02:57:23 GMT &gt; Все пофиксил. Все равно - БОЛТ на 18. Как и было.<br>&gt; Вообще, сама идея заключается в том, чтоб вся сеть 100.0/24 выходила в <br>&gt; Инет с адресом 93.ххх.ххх.200, то есть маскарадилась просто адресом аутсайд интерфейса. <br><br>а почему в нате указан адрес 93.ххх.ххх.201?<br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#7 Fri, 08 Jun 2012 13:20:31 GMT &gt; Вообще, сама идея заключается в том, чтоб вся сеть 100.0/24 выходила в <br>&gt; Инет с адресом 93.ххх.ххх.200, то есть маскарадилась просто адресом аутсайд интерфейса. <br><br>Ну так и пропишите на интерфейс:<br>global (outside) 333 interface<br><br><br>И как просит Николай покажите трейс:<br>packet-tracer input inside icmp 192.168.100.100 0 4 8.8.8.8<br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#6 Fri, 08 Jun 2012 13:03:05 GMT &gt; Это Evgeniy. То же самое пытался с такими же настройками делать на <br>&gt; АСА 5520 - результат тот же. Уверен, что в конфигах упущена <br>&gt; СУЩАЯ мелочь, которой я либо не знаю, либо не заметил... :-( <br><br>народ а чего packet-tracer om не пользуетесь, отличная веСч.<br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#5 Fri, 08 Jun 2012 08:49:37 GMT Это Evgeniy. То же самое пытался с такими же настройками делать на АСА 5520 - результат тот же. Уверен, что в конфигах упущена СУЩАЯ мелочь, которой я либо не знаю, либо не заметил... :-(<br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#4 Fri, 08 Jun 2012 08:34:09 GMT &gt;&gt; Это не проблема. Гораздо подозрительней выглядит ACL my_net, у которого третий октет <br>&gt;&gt; отличается от адресации локальной сети (VLAN 3000).<br>&gt; Шерлок, дело о непроходящем нате раскрыто ! :) <br><br>Все пофиксил. Все равно - БОЛТ на 18. Как и было.<br>Вообще, сама идея заключается в том, чтоб вся сеть 100.0/24 выходила в Инет с адресом 93.ххх.ххх.200, то есть маскарадилась просто адресом аутсайд интерфейса. <br><br>Вот что в дебагах:<br><br>FWSM# ICMP echo request (len 32 id 256 seq 11) 192.168.100.100 &gt; 192.168.100.2<br>ICMP echo reply (len 32 id 256 seq 11) 192.168.100.2 &gt; 192.168.100.100<br>ICMP echo request (len 32 id 256 seq 12) 192.168.100.100 &gt; 192.168.100.2<br>ICMP echo reply (len 32 id 256 seq 12) 192.168.100.2 &gt; 192.168.100.100<br>ICMP echo request (len 32 id 256 seq 13) 192.168.100.100 &gt; 192.168.100.2<br>ICMP echo reply (len 32 id 256 seq 13) 192.168.100.2 &gt; 192.168.100.100<br>ICMP echo request (len 32 id 256 seq 14) 192.168.100.100 &gt; 192.168.100.2<br>ICMP echo reply (len 32 id 256 seq 14) 192.168.100.2 &gt; 192.168.100.100<br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#3 Fri, 08 Jun 2012 06:07:20 GMT &gt; Это не проблема. Гораздо подозрительней выглядит ACL my_net, у которого третий октет <br>&gt; отличается от адресации локальной сети (VLAN 3000).<br><br>Шерлок, дело о непроходящем нате раскрыто ! :)<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#2 Thu, 07 Jun 2012 18:23:12 GMT &gt; У вас на 1000-х вланах маски разные <br><br>Это не проблема. Гораздо подозрительней выглядит ACL my_net, у которого третий октет отличается от адресации локальной сети (VLAN 3000).<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/23857.html#1 Thu, 07 Jun 2012 16:21:09 GMT У вас на 1000-х вланах маски разные<br>