https://www.opennet.dev/openforum/vsluhforumID6/1461.html Все добрый вечер.<br>Подскажите, пожалуйста, как можно настроить хождение пакетов между сетями на сабжевой железке? Интересует подсеть 10.0.0.0/16 и 192.168.1.0/24 (Ethernet0/2 и Ethernet0/1) access-listы прописал, same-security-traffic тоже, security-level стоит одинаковый, траффик не ходит. Интерфейсы пингуются из своих подсетей, компьютеры подсетей с циски так же пингуются а между интерфейсами пинг не проходит. Вот конфиг железки:<br><br>cassa# show running-config<br>: Saved<br>:<br>ASA Version 8.2(5)<br>!<br>hostname cassa<br>enable password xxx encrypted<br>passwd xxx encrypted<br>names<br>!<br>interface Ethernet0/0<br> nameif WAN<br> security-level 0<br> ip address x.x.x.x x.x.x.x<br>!<br>interface Ethernet0/1<br> nameif LAN<br> security-level 50<br> ip address 192.168.1.10 255.255.255.0<br>!<br>interface Ethernet0/2<br> nameif EXT<br> security-level 50<br> ip address 10.0.2.149 255.255.0.0<br>!<br>interface Ethernet0/3<br> nameif Manage<br> security-level 100<br> ip address 192.168.2.100 255.255.255.0<br> management-only<br>!<br>interface Management0/0<br> nameif managem https://www.opennet.dev/openforum/vsluhforumID6/1461.html#11 Fri, 29 Aug 2014 10:56:43 GMT &gt; arp timeout 14400 <br>&gt; global (WAN) 101 interface <br>&gt; nat (LAN) 101 0.0.0.0 0.0.0.0 <br><br>Добрый день,<br>похоже проблема в нате<br><br>вам надо добавить nonat<br><br>nat (LAN) 0 access-list acl_no_nat<br><br>access-list acl_no_nat extended permit ip 192.168.1.0 255.255.255.0 10.0.0.0 255.255.0.0 <br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#10 Fri, 29 Aug 2014 07:58:27 GMT &gt; Когда что-то не получается, и есть возможность, упрости конфиг до минимума, без <br>&gt; аксес-листов. Потом возвращай потихоньку настройки.<br><br>Ну изначально их и не было ))) Все равно ничего не работало. Это уже я пытался принудительно пакеты на интерфейсы "разрешить".<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#9 Fri, 29 Aug 2014 07:50:05 GMT Когда что-то не получается, и есть возможность, упрости конфиг до минимума, без аксес-листов. Потом возвращай потихоньку настройки.<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#8 Fri, 29 Aug 2014 05:44:01 GMT &gt; и что вам мешает потом разрешить этим компьютером иметь доступ?<br>&gt; А packet-tracer не на интерфейс ASA,а на любой айпи из сети 10.0.0.0 <br>&gt; покажите?<br><br>cassa# packet-tracer input LAN tcp 192.168.1.10 80 10.0.1.2 80<br><br>Phase: 1<br>Type: ROUTE-LOOKUP<br>Subtype: input<br>Result: ALLOW<br>Config:<br>Additional Information:<br>in 10.0.0.0 255.255.0.0 EXT<br><br>Phase: 2<br>Type: ACCESS-LIST<br>Subtype:<br>Result: DROP<br>Config:<br>Implicit Rule<br>Additional Information:<br><br>Result:<br>input-interface: LAN<br>input-status: up<br>input-line-status: up<br>output-interface: EXT<br>output-status: up<br>output-line-status: up<br>Action: drop<br>Drop-reason: (acl-drop) Flow is denied by configured rule<br><br>Искомая тачка в сети и отзывается на попингуй:<br><br>cassa# ping 10.0.2.1<br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 10.0.2.1, timeout is 2 seconds:<br>!!!!!<br>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/20 ms<br>cassa#<br><br>Попробовал присвоить интерфейсу EXT security-level = 40 - ничего не изменилось...<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#7 Fri, 29 Aug 2014 02:31:33 GMT &gt;&gt;&gt;&gt; А если дописать <br>&gt;&gt;&gt;&gt; static (LAN,EXT) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 <br>&gt;&gt;&gt;&gt; packet-tracer что покажет?<br>&gt;&gt;&gt; Без изменений...<br>&gt;&gt; А на EXT security-level понижать пробовали?<br>&gt; Нельзя мне его понижать.. Там находится несколько компьютеров которые должны иметь доступ <br>&gt; в LAN.<br><br>и что вам мешает потом разрешить этим компьютером иметь доступ?<br>А packet-tracer не на интерфейс ASA,а на любой айпи из сети 10.0.0.0 покажите?<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#6 Thu, 28 Aug 2014 17:29:15 GMT &gt;&gt;&gt; А если дописать <br>&gt;&gt;&gt; static (LAN,EXT) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 <br>&gt;&gt;&gt; packet-tracer что покажет?<br>&gt;&gt; Без изменений...<br>&gt; А на EXT security-level понижать пробовали?<br><br>Нельзя мне его понижать.. Там находится несколько компьютеров которые должны иметь доступ в LAN.<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#5 Thu, 28 Aug 2014 17:09:01 GMT &gt;&gt; А если дописать <br>&gt;&gt; static (LAN,EXT) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 <br>&gt;&gt; packet-tracer что покажет?<br>&gt; Без изменений...<br><br>А на EXT security-level понижать пробовали?<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#4 Thu, 28 Aug 2014 17:06:52 GMT &gt; А если дописать <br>&gt; static (LAN,EXT) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 <br>&gt; packet-tracer что покажет?<br><br>Без изменений...<br> https://www.opennet.dev/openforum/vsluhforumID6/1461.html#3 Thu, 28 Aug 2014 16:40:29 GMT А если дописать <br><br>static (LAN,EXT) 192.168.1.0 192.168.1.0 netmask 255.255.255.0<br><br>packet-tracer что покажет?<br><br><br>