От ASA INSIDE к INSIDE отбрасывается трафик
ASA 5505 используется для маршрутизации между двумя сетями, поскольку он содержит маршруты ко всему. Ниже изображена топология сети.
Я пробовал различные комбинации списков доступа, такие как:
access-list INSIDE_TO_INSIDE extended permit ip any any
или
access-list INSIDE_TO_INSIDE extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0
Так же как:
access-group INSIDE_TO_INSIDE in interface inside
Я не могу проверить связь или подключиться с ПК в сети .30 к ПК в сети .10.
В моих журналах есть что-то вроде:
iscoasa# %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/21 to 192.168.30.11/64340 flags RST ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK on interface inside
Это довольно стандартная конфигурация ASA. Также пакетный трассировщик показывает трафик icmp или tcp 22 как ОТКЛОНЕННЫЙ неявным правилом с 192.168.30.11 на 192.168.10.117. В чем дело?
Команда, которую вы ищете, это same-security-traffic permit {inter-interface | intra-interface}
По умолчанию трафик, входящий в один интерфейс, не может выходить из одного интерфейса. Следующая команда разрешит этот трафик.
same-security-traffic permit intra-interface
Часто с этой командой связана same-security-traffic permit inter-interface команда. По умолчанию ASA не разрешает трафику с одного уровня безопасности выходить из интерфейса того же уровня безопасности. В same-security-traffic permit inter-interface команда разрешает этот трафик.
См. Эту документацию Cisco для получения более подробной информации.
https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html