- Cisco ASA & DMZ (не проходит ICMP), Eduard_k, 12:06 , 13-Май-09 (1)
>[оверквотинг удален] > global (DMZ1) 100 interface > global (DMZ2) 100 interface > global (DMZ3) 100 interface > global (outside) 100 interface > >ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают, >но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 >from WEB-DMZ1 on interface DMZ1" > >При этом на интерфейсе outside подобная же ситуация прекрасно работает. icmp permit any ifname
- Cisco ASA & DMZ (не проходит ICMP), dimaonline, 12:09 , 13-Май-09 (2)
>icmp permit any ifname icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно пингуется.
- Cisco ASA & DMZ (не проходит ICMP), Mikhail, 12:52 , 13-Май-09 (3)
>>icmp permit any ifname > >icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно >пингуется. global (DMZ2) 100 interface > global (DMZ3) 100 interface static (DMZ1,inside)
- Cisco ASA & DMZ (не проходит ICMP), dimaonline, 15:56 , 13-Май-09 (4)
>static (DMZ1,inside) В командах ASA это выглядит так: static (DMZ1,inside) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 + еще нужно static (inside,DMZ1) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 В принципе рабочее решение, но я хотел разобраться почему через PAT не работает (ведь в Internet на внешнем интерфейсе же не выпускаются 10-е и 192 сети). PS: Кроме того второй сервер (ISA server) c "двумя ногами" перестает доступен быть через ASA(на внешний интерфейс) - Только изнутри, т.к. у него есть прямой маршрут к сети 192.168.1.0 (и внешний интерфейс был доступен только через PAT)
- Cisco ASA & DMZ (не проходит ICMP), dimaonline, 17:13 , 21-Май-09 (5)
Так как решения не нашел ТЕМЕ UP
- Cisco ASA & DMZ (не проходит ICMP), dimaonline, 13:04 , 03-Июн-09 (6)
Нашел самостоятельно решение, правда похоже на bag в ASDM 6.1: Решение: policy-map global_policy class inspection_default ... inspect icmp Описание БАГа: При обращении из ASDM в global_policy присутствует строка, что ICMP инспектируется, но в самом тексте конфига этой троки я не нашел. Долго не мог понять, как в таком случае работал ICMP на outside интерфейсе - оказалось, что строка object-group icmp-type DM_INLINE_ICMP_1 icmp-object echo-reply icmp-object source-quench icmp-object time-exceeded icmp-object unreachable access-list outside_access_in extended permit icmp any any object-group DM_INLINE_ICMP_1 СРАБАТЫВАЛА как ВХОДЯЩЕЕ соединение.
|