У меня есть интерфейс WAN и 2 интерфейса LAN. Мне нужно, чтобы как локальная сеть могла получить доступ к серверу вне сети, через интерфейс WAN (внешний). Я использую межсетевой экран ASA 5510 вместо маршрутизатора, потому что у меня нет маршрутизатора.
Выглядит достаточно просто, но не работает. Я пингую с ПК (172.16.22.8), подключенного к локальной (внутренней) сети, на 10.10.10.1, который является локальным интерфейсом WAN, также не работал.
Но с помощью брандмауэра ASA я мог пропинговать свой компьютер в локальной сети (внутри). Я следил за конфигурацией, полученной с этого форума. Однако это не сработало. Ниже моего config. Пожалуйста помоги.
interface Ethernet0/0
nameif outside
security-level 0
ip address 10.10.10.1 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 172.16.22.254 255.255.255.0
!
interface Ethernet0/2
nameif inside2
security-level 50
ip address 172.16.21.254 255.255.255.0
!
access-list outside-inside extended permit ip any any
access-list outside-inside extended permit icmp any any
static (inside,outside) 172.16.22.0 172.16.22.0 netmask 255.255.255.0
static (outside,inside) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
access-group outside-inside in interface outside
Выглядит достаточно просто, но не работает. Я пингую с ПК (172.16.22.8), подключенного к локальной (внутренней) сети, на 10.10.10.1, который является локальным интерфейсом WAN, также не работал.
ASA не позволит вам пинговать его интерфейс на другой стороне межсетевого экрана, поэтому, если вы подключены к Ethernet0 / 1, вы не сможете пинговать Ethernet0 / 0, даже если вам может быть разрешено пинговать что-то, подключенное к Ethernet0 / 0. Это всего лишь одна из причуд ASA.
Причина, по которой ваши клиенты не могут подключиться к серверу, может быть не из-за брандмауэра, а из-за маршрутизации. Знает ли ваш клиент, что для достижения 10.10.10.0/24, необходимость пройти 172.16.22.254 и знает ли ваш сервер, что для достижения 172.16.22.0/24, это должно пройти 10.10.10.1?