>[оверквотинг удален]
>>> него соурс IP стал=WAN ASA..
>> Блин, надо подумать... Если б у тебя с двух сторон стоял роутер,
>> то проблем не было. Был бы к примеру gre тунель, на
>> которых настроен нат. У тебя сейчас как раз так и выходит,
>> с роутера пакеты улетают, даже до сайта доходят, но вернувшись на
>> ASA не знают куда идти дальше (на сколько я знаю, АSA
>> не может не gre, не loopback , и даже была идея
>> с pptp сервером, и то не умеет). Вообщем надо еще подумать
> я easyVPN настроил, в общем то же самое, локалку пингую, а сайт
> - нет.если еще актуально получилось собрать схемку на gns
____________________________________________
ASA2# sh ver
Cisco Adaptive Security Appliance Software Version 8.0(2)
ISR#sh version
Cisco IOS Software, 2600 Software (C2691-ADVSECURITYK9-M), Version 12.3(11)T4, RELEASE SOFTWARE (fc4)
________________________________________________________
Со стороны маршрутера все ок. На ASA сделал нужную сайт с адресом 10,0,244,1
!
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.0.248.14 255.255.255.252
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.18.9.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/5
shutdown
no nameif
no security-level
no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
same-security-traffic permit intra-interface
access-list WORK extended permit ip any any
access-list NONAT extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list OUTSIDE_IN_ACL extended permit ip any any
access-list CRYPTO extended permit ip 172.18.9.0 255.255.255.0 172.18.10.0 255.255.255.0
access-list CRYPTO extended permit ip host 10.0.244.1 172.18.10.0 255.255.255.0
access-list NATPOOL extended permit ip 172.18.9.0 255.255.255.0 any
access-list 101 extended permit ip 172.18.10.0 255.255.255.0 host 10.0.244.1
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 12 interface
nat (inside) 0 access-list NONAT
nat (inside) 12 access-list NATPOOL
nat (outside) 12 access-list 101
access-group WORK in interface inside
access-group OUTSIDE_IN_ACL in interface outside
route outside 0.0.0.0 0.0.0.0 10.0.248.13 1
route outside 172.18.10.0 255.255.255.0 10.0.248.13 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set vpn-set esp-3des esp-md5-hmac
crypto map co-vpn 1 match address CRYPTO
crypto map co-vpn 1 set peer 10.0.248.2
crypto map co-vpn 1 set transform-set vpn-set
crypto map co-vpn interface outside
crypto isakmp enable outside
crypto isakmp policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 3600
crypto isakmp policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 15
tunnel-group 10.0.248.2 type ipsec-l2l
tunnel-group 10.0.248.2 ipsec-attributes
pre-shared-key *
----------------------------------
ASA2# sh xlate
4 in use, 4 most used
PAT Global 10.0.248.14(1026) Local 172.18.10.2(58457)
PAT Global 10.0.248.14(10) Local 172.18.10.2 ICMP id 44551
PAT Global 10.0.248.14(1027) Local 172.18.9.2(56394)
PAT Global 10.0.248.14(11) Local 172.18.9.2 ICMP id 20487