Новые ответы

Cisco ASA & DMZ (не проходит ICMP),

dimaonline, 13-Май-09, 11:40 [смотреть все]

1) Существует схема подключения по трехножной схеме.
   Сети 192.168.1.0/24 inside
   Сеть 10.1.1.0/24 DMZ1
2) ACL разрешают все из UNLIMITED-USERS(inside) -> any и DMZ1-> any :
   access-list inside_access_in extended permit ip object-group UNLIMITED-USERS any
   access-list DMZ1_access_in extended permit ip any any
3) NAT настроен по PAT:
   global (DMZ1) 100 interface
   global (DMZ2) 100 interface
   global (DMZ3) 100 interface
   global (outside) 100 interface
ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают,
но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 from WEB-DMZ1 on interface DMZ1"
При этом на интерфейсе outside подобная же ситуация прекрасно работает.

Ответить | Сообщить модератору

Cisco ASA & DMZ (не проходит ICMP), Eduard_k, 12:06 , 13-Май-09 (1)
>[оверквотинг удален]
>   global (DMZ1) 100 interface
>   global (DMZ2) 100 interface
>   global (DMZ3) 100 interface
>   global (outside) 100 interface
>
>ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают,
>но PING не проходит - в логах выдает "Denied ICMP type=0, code=0
>from WEB-DMZ1 on interface DMZ1"
>
>При этом на интерфейсе outside подобная же ситуация прекрасно работает.
icmp permit any ifname
Ответить | Сообщить модератору

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 12:09 , 13-Май-09 (2)
>icmp permit any ifname
icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно пингуется.

Ответить | Сообщить модератору

Cisco ASA & DMZ (не проходит ICMP), Mikhail, 12:52 , 13-Май-09 (3)
>>icmp permit any ifname
>
>icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно
>пингуется.
global (DMZ2) 100 interface
> global (DMZ3) 100 interface
static (DMZ1,inside)
Ответить | Сообщить модератору

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 15:56 , 13-Май-09 (4)
>static (DMZ1,inside)
В командах ASA это выглядит так:
static (DMZ1,inside) 10.1.1.0 10.1.1.0 netmask 255.255.255.0
+ еще нужно
static (inside,DMZ1) 192.168.1.0 192.168.1.0 netmask 255.255.255.0
В принципе рабочее решение, но я хотел разобраться почему через PAT не работает (ведь в Internet на внешнем интерфейсе же не выпускаются 10-е и 192 сети).
PS: Кроме того второй сервер (ISA server) c "двумя ногами" перестает доступен быть через ASA(на внешний интерфейс) - Только изнутри, т.к. у него есть прямой маршрут к сети 192.168.1.0 (и внешний интерфейс был доступен только через PAT)
Ответить | Сообщить модератору

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 17:13 , 21-Май-09 (5)
Так как решения не нашел ТЕМЕ UP
Ответить | Сообщить модератору

Cisco ASA & DMZ (не проходит ICMP), dimaonline, 13:04 , 03-Июн-09 (6)
Нашел самостоятельно решение, правда похоже на bag в ASDM 6.1:
Решение:
policy-map global_policy
class inspection_default
...
inspect icmp
Описание БАГа:
При обращении из ASDM в global_policy присутствует строка, что ICMP инспектируется, но в самом тексте конфига этой троки я не нашел. Долго не мог понять, как в таком случае работал ICMP на outside интерфейсе - оказалось, что строка
object-group icmp-type DM_INLINE_ICMP_1
icmp-object echo-reply
icmp-object source-quench
icmp-object time-exceeded
icmp-object unreachable
access-list outside_access_in extended permit icmp any any object-group DM_INLINE_ICMP_1

СРАБАТЫВАЛА как ВХОДЯЩЕЕ соединение.

Ответить | Сообщить модератору