Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"	+/–
Сообщение от N1ck (ok), 28-Окт-25, 14:19
Всем привет! Есть ASA 5510 ver. 8.2 и PIX501 ver. 6.3, между ними настроен туннель. ASA имеет подсеть 10.1.0.0 255.255.0.0 и PIX 192.168.7.0/24 Настроены ACL для подсетей, настроены NONAT на обеих сторонах, наложены криптокарты на  interface outside, туннель поднимается. На обеих сторонах на interface outside публичный внешний ip, есть единственная команда route и она выглядит как route outside 0.0.0.0 0.0.0.0 **.**.***.** 1 на шлюз провайдера. Если к PIX подключить ПК в любой порт inside, настроить в ПК IP из подсети 192.168.7.* и шлюзом указать PIX то в обе стороны пинги успешно проходят, с ПК подключенного к PIX видны через туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой траффик ходит благодаря ACL и NONAT для криптокарты. Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, подключенному к PIX будет указан шлюзом не PIX а любое другое устройство в подсети 192.168.7? По факту если шлюз не PIX то ничего не работает, можно только пингануть ASA на той стороне (management interface from inside включен) и наоборот сам PIX со стороны ASA. Но никакие другие IP в 192.168.7 из inside ASA через туннель не видны.
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

1. "ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"	+/–
Сообщение от ogiss (?), 29-Окт-25, 07:35
по моему логично - шлюз (gateway) должен находится в той же сети где и ПК
Ответить | Правка | Наверх | Cообщить модератору

2. "ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"	+/–
Сообщение от Andrey (??), 29-Окт-25, 09:05
>[оверквотинг удален] > стороны пинги успешно проходят, с ПК подключенного к PIX видны через > туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой > траффик ходит благодаря ACL и NONAT для криптокарты. > Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, > подключенному к PIX будет указан шлюзом не PIX а любое другое > устройство в подсети 192.168.7? > По факту если шлюз не PIX то ничего не работает, можно только > пингануть ASA на той стороне (management interface from inside включен) и > наоборот сам PIX со стороны ASA. Но никакие другие IP в > 192.168.7 из inside ASA через туннель не видны. Если вы ставите в качестве маршрутизатора, хост, который не является маршрутизирующим узлом, а обычную рядовую станцию, вы чего хотите получить? У вас эти хосты, которые вы прописываете маршрутизатом умеют proxy-arp?
Ответить | Правка | Наверх | Cообщить модератору

	3. "ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"	+/–
	Сообщение от N1ck (ok), 31-Окт-25, 08:49
	>[оверквотинг удален] >> Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, >> подключенному к PIX будет указан шлюзом не PIX а любое другое >> устройство в подсети 192.168.7? >> По факту если шлюз не PIX то ничего не работает, можно только >> пингануть ASA на той стороне (management interface from inside включен) и >> наоборот сам PIX со стороны ASA. Но никакие другие IP в >> 192.168.7 из inside ASA через туннель не видны. > Если вы ставите в качестве маршрутизатора, хост, который не является маршрутизирующим узлом, > а обычную рядовую станцию, вы чего хотите получить? У вас эти > хосты, которые вы прописываете маршрутизатом умеют proxy-arp? Смотрите, речь не идёт о том чтобы ходить в ещё какую-то подсеть, всё в одной подсети 192.168.7.* На PIX из консоли можно успешно пинговать всю эту подсеть, т.е. PIX сам всю подсеть видит, так  почему пинги не проходят через туннель на другие устройства в подсети .7? С 10.1.*.* из всей подсети .7 только сам PIX пингуется, т.е. то что у CISCO называется его management interface?
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема