https://opennet.ru/openforum/vsluhforumID6/24020.html Всем привет!<br>Есть ASA 5510 ver. 8.2 и PIX501 ver. 6.3, между ними настроен туннель.<br>ASA имеет подсеть 10.1.0.0 255.255.0.0 и PIX 192.168.7.0/24<br>Настроены ACL для подсетей, настроены NONAT на обеих сторонах, наложены криптокарты на interface outside, туннель поднимается.<br>На обеих сторонах на interface outside публичный внешний ip, есть единственная команда route и она выглядит как route outside 0.0.0.0 0.0.0.0 **.**.***.** 1 на шлюз провайдера.<br>Если к PIX подключить ПК в любой порт inside, настроить в ПК IP из подсети 192.168.7.* и шлюзом указать PIX то в обе стороны пинги успешно проходят, с ПК подключенного к PIX видны через туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой траффик ходит благодаря ACL и NONAT для криптокарты.<br>Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, подключенному к PIX будет указан шлюзом не PIX а любое другое устройство в подсети 192.168.7?<br>По факту если шлюз не PIX то ничего не работает, можно только пингануть ASA на той стороне (management interf https://opennet.ru/openforum/vsluhforumID6/24020.html#3 Fri, 31 Oct 2025 05:49:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, <br>&gt;&gt; подключенному к PIX будет указан шлюзом не PIX а любое другое <br>&gt;&gt; устройство в подсети 192.168.7?<br>&gt;&gt; По факту если шлюз не PIX то ничего не работает, можно только <br>&gt;&gt; пингануть ASA на той стороне (management interface from inside включен) и <br>&gt;&gt; наоборот сам PIX со стороны ASA. Но никакие другие IP в <br>&gt;&gt; 192.168.7 из inside ASA через туннель не видны.<br>&gt; Если вы ставите в качестве маршрутизатора, хост, который не является маршрутизирующим узлом, <br>&gt; а обычную рядовую станцию, вы чего хотите получить? У вас эти <br>&gt; хосты, которые вы прописываете маршрутизатом умеют proxy-arp?<br><br>Смотрите, речь не идёт о том чтобы ходить в ещё какую-то подсеть, всё в одной подсети 192.168.7.* <br>На PIX из консоли можно успешно пинговать всю эту подсеть, т.е. PIX сам всю подсеть видит, так почему пинги не проходят через туннель на другие устройства в подсети .7? <br>С 10.1.*.* из всей подсети .7 только сам PIX пингуется, т.е. то что у C https://opennet.ru/openforum/vsluhforumID6/24020.html#2 Wed, 29 Oct 2025 06:05:37 GMT &gt;[оверквотинг удален]<br>&gt; стороны пинги успешно проходят, с ПК подключенного к PIX видны через <br>&gt; туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой <br>&gt; траффик ходит благодаря ACL и NONAT для криптокарты.<br>&gt; Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, <br>&gt; подключенному к PIX будет указан шлюзом не PIX а любое другое <br>&gt; устройство в подсети 192.168.7?<br>&gt; По факту если шлюз не PIX то ничего не работает, можно только <br>&gt; пингануть ASA на той стороне (management interface from inside включен) и <br>&gt; наоборот сам PIX со стороны ASA. Но никакие другие IP в <br>&gt; 192.168.7 из inside ASA через туннель не видны.<br><br>Если вы ставите в качестве маршрутизатора, хост, который не является маршрутизирующим узлом, а обычную рядовую станцию, вы чего хотите получить? У вас эти хосты, которые вы прописываете маршрутизатом умеют proxy-arp? <br> https://opennet.ru/openforum/vsluhforumID6/24020.html#1 Wed, 29 Oct 2025 04:35:00 GMT по моему логично - шлюз (gateway) должен находится в той же сети где и ПК<br><br><br><br>