Это проблема, с которой я боролся в течение довольно долгого времени, и получил, казалось бы, простой ответ (разве не все проблемы с ИТ?).
И это проблема передачи трафика между двумя напрямую подключенными подсетями с помощью ASA.
Хотя я знаю, что лучше всего иметь Интернет -> Брандмауэр -> Маршрутизатор, во многих случаях это невозможно.
Например, у In есть ASA с двумя интерфейсами: OutsideNetwork (10.19.200.3/24) и InternalNetwork (10.19.4.254/24). Вы ожидаете, что Outside сможет добраться, скажем, до 10.19.4.1 или, по крайней мере, до 10.19.4.254, но пинг интерфейса дает только плохие новости.
Результат выполнения команды: "ping OutsideNetwork 10.19.4.254"
Для прерывания введите escape-последовательность.
Отправка 5 100-байтовых эхо-сообщений ICMP на 10.19.4.254, время ожидания составляет 2 секунды:
?????
Уровень успеха составляет 0 процентов (0/5)
Естественно, можно было бы предположить, что можно добавить статический маршрут, но безрезультатно.
[ERROR] route Outsidenetwork 10.19.4.0 255.255.255.0 10.19.4.254 1
Невозможно добавить маршрут, существует связанный маршрут
На этом этапе вы можете подумать, проблема ли это NAT или списка доступа.
access-list Outsidenetwork_access_in расширенное разрешение ip любое любое
access-list Internalnetwork_access_in расширенное разрешение ip любое любое
Не существует динамического nat (или статического nat, если на то пошло), и разрешен трафик без привязки.
Когда я пытаюсь проверить связь с указанным выше адресом (10.19.4.254 из Outsidenetwork), я получаю это сообщение об ошибке при ведении журнала уровня 0 (отладка).
При маршрутизации не удалось найти следующий переход для icmp от NP Identity Ifc: 10.19.200.3/0 во внешнюю сеть: 10.19.4.1/0
Это привело меня к установке разрешение на трафик с одинаковой безопасностью, и назначили одинаковые, меньшие и большие номера защиты между двумя интерфейсами.
Я не замечаю чего-то очевидного? Есть ли команда для установки статических маршрутов, которые классифицируются выше, чем подключенные маршруты?
В вашем вопросе есть несколько проблем. Во-первых, я бы, естественно, не думал, что могу попасть во внутреннюю сеть из внешней сети. ASA - это ФЕЙЕРВОЛЛ не роутер. Если бы он сделал это, он бы не выполнял свою работу. Маршрутизатор с этим справится.
Вторая серьезная проблема связана с вашей командой маршрута. Тебе это не нужно. У вас есть 2 локально подключенные сети. Брандмауэр знает, как связаться с ними обоими. Они напрямую связаны. Таким образом, вам не нужна команда маршрута, чтобы сообщить брандмауэру, каков следующий переход.
Разобравшись с этим, давайте перейдем к ответу. ASA требует, чтобы к каждой сети был прикреплен уровень безопасности от 0 до 100. Более высокий уровень безопасности позволит получить доступ к более низкому уровню безопасности. Более низкий уровень безопасности требует явного доступа к ресурсам на более высоком уровне. Итак, начнем с определения правильных уровней безопасности:
интерфейс Ethernet 0/0
имяесли снаружи
уровень безопасности 0
IP-адрес 10.19.200.3 255.255.255.0
интерфейс Ethernet 0/1
имя если внутри
уровень безопасности 100
IP-адрес 10.19.4.254 255.255.255.0
Теперь вашей внутренней сети разрешен доступ к вашей внешней сети. Если вам нужно разрешить внешней сети доступ к внутренней сети, вам нужно определить это в списке доступа и назначить его интерфейсу в группе доступа:
список доступа external_access_in расширенное разрешение ip любое любое
группа доступа external_access_in в интерфейсе за пределами
Но все равно не работает? Вероятно, потому что вам нужно определить статические сопоставления от одной сети к другой. В противном случае брандмауэр не знает, что делать. Помните, что это межсетевой экран, а не маршрутизатор:
статический (внутри, снаружи) 10.19.4.0 10.19.4.0 сетевая маска 255.255.255.0
статический (снаружи, внутри) 10.19.200.0 10.19.200.0 сетевая маска 255.255.255.0
Вот и все ... у вас должен быть свободный поток между двумя интерфейсами ... действительно противоречит цели брандмауэра, но, похоже, это то, что вы хотите. По крайней мере, это дает вам отправную точку, и вы можете ограничить трафик оттуда.
Я не уверен, но в вашей настройке нет ничего плохого - я думаю, проблема в тестах, которые вы пытаетесь провести.
Я не уверен, что сработает указание маршрутизатору пинговать один интерфейс с другим в качестве адреса источника - он может предполагать, что вы имеете в виду, что хотите, чтобы трафик покидал этот интерфейс - и в этом случае это правильно, у него нет маршрута к этот IP.
Вы пробовали тестировать подключение с внешних устройств, а не с самого роутера?
Пока у вас нет некоторых ACL или NAT, и пока у других устройств есть подходящие маршруты для доступа к этой штуке, я не вижу никакой причины, по которой это не просто старая обычная маршрутизация ...