Я надеюсь, что кто-то может помочь мне с проблемой, которую я вижу на устройстве Cisco ASA, у меня проблема с получением внешнего интерфейса для передачи трафика на общедоступный интерфейс.
Внешний = 65.125.x.x
Public = 65.121.x.x
Когда я проверяю общедоступный IP-адрес, пакет принимается на внешнем интерфейсе (именно туда маршрутизируется подсеть), но никогда не пересылается на общедоступный интерфейс (подтверждается захватом пакета).
Оба интерфейса имеют одинаковый нулевой уровень безопасности, и у меня настроена следующая команда.
same-security-traffic permit inter-interface
У меня также есть следующие правила для каждого интерфейса ..
access-list outside_public extended permit icmp any any
access-list outside_public extended permit ip any any
Я также установил правило NAT для трафика.
nat (public,outside) source static 65.121.x.x_27 65.121.x.x_27 destination static 65.125.x.x_29 65.125.x.x_29
nat (outside,public) source static 65.125.x.x_29 65.125.x.x_29 destination static 65.121.x.x_27 65.121.x.x_27
Когда я пингую 65.121.x.x, я вижу пакеты на внешнем интерфейсе, но ничего не вижу на общедоступном интерфейсе, я совершенно озадачен этим.
Любая помощь будет очень признательна, так как я собираюсь с этим справиться. Я знаю, что это будет работать с маршрутизатором, но я не могу сделать ASA доступным на втором интерфейсе с подключенной дополнительной общедоступной подсетью.
Пара быстрых вопросов для проверки с брандмауэрами Cisco ASA и эхо-запросом. Возможно, вам потребуется установить «Интерфейс доступа к управлению». У меня раньше были проблемы с этой причиной с пингом.
Вам также может потребоваться ввести некоторые другие политики, чтобы разрешить ping. Правила брандмауэра не всегда позволяют это. Существуют и другие политики, которые могут вытягивать трафик на уровне проверки. Самый простой способ для новых раскруток:
Fixup protocol ICMP