web-dev-qa-db-ja.com

初期のCiscoASA5510設定

新しいASA5510をセットアップしようとしています。内側の1つの/ 24が外側のDHCPアドレスにNATされている、非常に単純なセットアップがあります。内部のすべてが機能し、外部デバイスから外部インターフェイスにpingを実行できます。私が何をしても、国境を越えて外側に戻ってルーティングするための内部のものを取得することはできません。可能性としてACLの問題を排除するために、内部および外部インターフェイスの着信アクセスリストに任意のルールを許可するように追加しました。私が得ることができるどんな助けにも感謝します。これがshrunです。

: Saved
:
ASA Version 8.4(3)
!
hostname gateway
domain-name xxx.local
enable password xxx encrypted
passwd xxx encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.x.x.x 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
dns domain-lookup inside
dns server-group DefaultDNS
name-server 10.x.x.x
domain-name xxx.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network inside-network
subnet 10.x.x.x 255.255.255.0
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list outside_access_in extended permit ip any any
access-list inside_access_in extended permit ip any any
pager lines 24
logging enable
logging buffered informational
logging asdm informational
mtu management 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
no asdm history enable
arp timeout 14400
!
object network inside-network
nat (any,outside) dynamic interface
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 10.x.x.x 255.255.255.0 inside
http authentication-certificate management
http authentication-certificate inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 management
ssh 10.x.x.x 255.255.255.0 inside
ssh timeout 5
ssh version 2
console timeout 0
dhcp-client client-id interface outside
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username xxx password xxx encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
  inspect icmp
!
service-policy global_policy global
Prompt hostname context
no call-home reporting anonymous
Cryptochecksum:fe19874e18fe7107948eb0ada6240bc2
: end
no asdm history enable
3

そこに静的ルートを貼り付けましたか?

ASA(config)#route [interface name] [destination address] [netmask] [gateway]

1
Darkmatter

何らかの理由で、ARPエントリがデフォルトゲートウェイのarpテーブルに追加されていません。一時的な修正として、次のコマンドを使用してこれを手動で追加してみることができます。

(config tモードから)arp outside 10.42.45.46 2a30.4410.2789 alias

なぜこれが起こっているのかはわかりませんが、パケットキャプチャを実行して、arp要求が送信され、応答が返されるかどうかを確認することで確認できます。もしそうなら、デバイスのメンテナンスがある場合は、シスコでTACケースを開くことをお勧めします。

0
resmon6