Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Открыть новую тему     Написать ответ в эту тему

era

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Cisco PIX Firewall / ASA
 
Cisco PIX Firewall / ASA - OS ищем тут !
 
 
 
 
 
Полезные ссылки
http://cisco.com - тут как гворится есть всё !
http://ciscolab.ru - CiscoLab Лаборатория Сетей
http://www.opennet.ru/mp/cisco/ - Мини-портал Cisco на opennet.ru
http://faq-cisco.ru/ - cisco на русском
http://ru.wikipedia.org/wiki/Cisco - cisco на Wikipedia
http://dreamcatcher.ru -  
http://ods.com.ua/win/rus/rfc/faq/c_faq.html - FAQ по маршрутизаторам cisco
 
 
Уже обсуждалось
CISCO PIX 7.04 форвардинг портов. КАК?
Сброс пароля на Cisco PIX 501
cisco pix 501 config помогите
Помогите настроить PIX
Cisco ASA 55x0 Remote Access VPN
 
 
Родственные темы
Настройка Cisco оборудования.
 
 
FAQ
 
 
 
 
Всего записей: 1 | Зарегистр. 07-08-2002 | Отправлено: 10:41 07-08-2002 | Исправлено: slech, 09:30 11-06-2008
gaizerkirov

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
чего душой кривить - в идеале бы увидеть команды CLI для полной настройки или конфиг, решающий описанную задачу...
Всего записей: 4 | Зарегистр. 10-05-2010 | Отправлено: 13:00 17-02-2012
schukin



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gaizerkirov

Цитата:
Здравствуйте!  
   
 Помогите новичку решить вот такую проблему....

 
Самый простой вариант для Вас это попробовать настроить через какую-нибудь графическую утилиту. То есть что-нибудь типа Cisco ASDM. Там на самом деле будет проще разобраться, в том числе, если что-то не заработает.
Если же через консоль, то придется все-таки разбираться и учиться хотя бы на готовых примерах.
Ну а если по командам, то наверное можно так.
Далее пишу отсебятину, из своего личного опыта.
1. Набросать схемку для себя, чтобы понимать какой провод куда приходит и какая там должна быть адресация.
2. Настроить интерфейсы, куда подключаются провода.
Типа так:
interface Ethernet0
 description INSIDE
 nameif INSIDE
 security-level 100
 ip address 10.1.1.1 255.255.255.0
 
Interface Ethernet1
 description DMZ
 nameif DMZ
 security-level 50
 ip address 192.168.20.1 255.255.255.240
 
На пиксах и асах по-умолчанию доступ с интерфейса с меньшим security-level в интерфес с большим security-level запрещен. То есть по-умолчанию из DMZ достучаться до INSIDE не получится.
Обратно все разрешено (с большего в меньший).
 
3. Чтобы ограничить доступ из INSIDE в DMZ надо сделать access-list и привязать его к интерфесу.
 
access-list Traffic-from-INSIDE extended permit tcp host 10.1.1.123 host 192.168.20.2  eq 3306
access-list Traffic-from-INSIDE extended deny any any log
access-group Traffic-from-INSIDE in interface INSIDE
 
Последняя строчка, где deny any any log полезна, чтобы видеть, какой траффик не попал в этот аксесс-лист и был отброшен. Смотреть лог можно  командой show log
Все приведенное это самый базовые настройки которые потребуются.
Все наименования INSIDE DMZ и пр. условны их можно назвать как душе угодно, аналогично и с аксесс-листами.  
Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 12:05 21-02-2012 | Исправлено: schukin, 12:07 21-02-2012
alexey63rus

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
еще такой вопрос:
от провайдера у меня статический - шлюз, IP, DNS1, DNS2
как мне на PIX не поднимая DHCP прописать DNS1, DNS2???
 
вот что было Для DHCP:
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd dns 62.213.0.12 62.213.2.1 interface inside
 
а нужно без DHCP во внутренней сети! Не могу понять как сделать!
 
Заранее извиняюсь!
Всего записей: 4 | Зарегистр. 08-08-2005 | Отправлено: 13:02 21-02-2012
schukin



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexey63rus

Цитата:
еще такой вопрос:  
 от провайдера у меня статический - шлюз, IP, DNS1, DNS2  
 как мне на PIX не поднимая DHCP прописать DNS1, DNS2???

Вроде так:
dns name-server DNS1
Вроде так, если я правильно понял вопрос.  
 
Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 13:29 21-02-2012
gaizerkirov

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору


Цитата:
Самый простой вариант для Вас это попробовать настроить через какую-нибудь графическую утилиту. То есть что-нибудь типа Cisco ASDM. Там на самом деле будет проще разобраться, в том числе, если что-то не заработает.  
Если же через консоль, то придется все-таки разбираться и учиться хотя бы на готовых примерах.  
Ну а если по командам, то наверное можно так.  
Далее пишу отсебятину, из своего личного опыта.  

Вы даже не представляете себе, насколько помогли... графические утилиты я не очень уважаю, стараюсь разбираться досконально, потому и решил сразу же опуститься до уровня CLI. именно от вас я узнал о доступности интерфейсов с разным секьюрити-левел....
картинка того, что нужно сделать - уже оформилась в голове. большое спасибо!
 
Добавлено:
вот что у меня получилось:
в Ethernet 0/0 будет воткнут патчкорд до свитча сети 10.x.x.x
в Ethernet 0/1-0/4 будут подключены компы сети 192.168.20.х
попытался настроить чтобы был доступ от компьютера 10.х.х.22 до компьютера 192.168.20.14 по порту 3306 и разрешил ему же пинговать.
вот полный конфиг:
 
:
ASA Version 8.2(1)
!
 
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 10.х.х.190 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 192.168.20.1 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
 switchport access vlan 2
!
interface Ethernet0/2
 switchport access vlan 2
!
interface Ethernet0/3
 switchport access vlan 2
!
interface Ethernet0/4
 switchport access vlan 2
!
interface Ethernet0/5
 shutdown
!
interface Ethernet0/6
 shutdown
!
interface Ethernet0/7
 shutdown
!
boot system disk0:/asa821-k8.bin
ftp mode passive
access-list traffik-from extended permit tcp host 10.х.х.22 host 192.168.20.14 eq 3306
access-list traffik-from extended permit icmp host 10.х.х.22 host 192.168.20.14
access-list traffik-from extended deny tcp any any log
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group traffik-from out interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 1048575
!
 
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
  message-length maximum client auto
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:b640249ecea806ddf1b022e6dfaeb1d8
: end
 
но похоже намудрил с роутингом... прошу прокомментировать - все ли верно?
Всего записей: 4 | Зарегистр. 10-05-2010 | Отправлено: 08:35 22-02-2012
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
но похоже намудрил с роутингом... прошу прокомментировать - все ли верно?

вы просто его не настроили
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 11:53 22-02-2012
gaizerkirov

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
вы просто его не настроили

а как настроить? пока не догоняю...
Всего записей: 4 | Зарегистр. 10-05-2010 | Отправлено: 12:21 22-02-2012
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gaizerkirov
команда route
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 15:10 22-02-2012
schukin



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
gaizerkirov
1.
Цитата:
access-group traffik-from out interface inside

Тут есть ошибка: Само соединение идет с inside в направлении outside, у вас же аксесс-лист повешен на интерфейсе inside, но в направлении на выход (OUT) должно быть на вход (IN).
2. Здесь у Вас обе сети присоединенные (Connected) в таблицу маршрутизации они попадают автоматически, поэтому настраивать маршрутизацию не надо. Можете посмотреть show route.
Остальные некритичные замечания:
3. Настроена нат-трансляция всех пакетов приходящих на интерфейс инсайд и уходящих в outside в адрес интерфейса (192.168.20.1). Это действительно необходимо? То есть сервер 192.168.20.14 будет видеть, что к нему идет подключение с адреса 192.168.20.1. Можно отключить трансляцию  
nat 0 10.x.x.0 255.255.255.0  
или точно также можно хост, вместо сети указать, тогда трансляции не будет. Но это не критично, можно пока ее не трогать, добиться чтобы заработало, а потом и трансляцию поковырять.
4. Наименование аксесс-листа в итоге получилось неинформативным.
5.
Цитата:
access-list traffik-from extended deny tcp any any log
 
Такая последняя строка в аксесс-листе тоже не очень удачна. В аксесс-листах у цисок всегда последним идет запись deny ip any any, ее просто не видно, то что мы добавляем  deny ip any any log
заставляет асу записать это событие в лог, но дополнительных ограничений эта строка в аксесс-лист не вносит. А у вас получается, что в логе отобразится только отброшенное  tcp соединие, а например пинг вы там не увидите, поэтому лучше все-таки так: deny ip any any log
 
Еще добавьте
logging enable
logging buffered debugging
logging monitor notification
 
Это позволит видеть сообщения, если что-то не проходит. И видно будет логи командой
show logg
 
Еще в процессе проверки хорошо бы включить terminal monitor, Это если вы не из консоли работаете, если же из консоли ( по синему шнурку) то все сообщения будут видны сразу.
 
 
 
 
Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 11:40 24-02-2012 | Исправлено: schukin, 20:02 26-02-2012
skliz

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Можно вопрос, есть Pix 515e, какая туда максимальная карта памяти взезет, щас стоит 16mb, и можно ли щас купить гденибуть, и обязательно карточку от циско или другая установиться нормально, сильно непинайте.
Всего записей: 122 | Зарегистр. 19-01-2006 | Отправлено: 11:03 01-03-2012
sersh05

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
нашел
Всего записей: 40 | Зарегистр. 29-09-2008 | Отправлено: 14:54 01-03-2012 | Исправлено: sersh05, 15:29 01-03-2012
xxlsuper



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
skliz
а что ты туда запихнуть хочешь? лучше проц заменить на Пень3 - пикс тогда летает просто
 
Добавлено:
кстати недавно Cisco анонсировало новую линейку ASA 55..-X какая там внутри начинка? проц память и сетевухи?
Всего записей: 300 | Зарегистр. 10-03-2005 | Отправлено: 13:38 03-03-2012
skliz

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
xxlsuper
asdm хочу туды последнюю воткнуть, а так как там 16 стоит то последняя нелез места нету.
Всего записей: 122 | Зарегистр. 19-01-2006 | Отправлено: 11:12 05-03-2012
Bock



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Здравствуйте есть вопросик.
Две асы, одна 5580, другая 5520, одинаковые прошивки: Cisco Adaptive Security Appliance Software Version 8.4(2)  
Device Manager Version 6.4(5)
 
Настроен между ними IPsec, всё бегает хорошо до тех пор, пока не возникает какой-то большой трафик.
Вот случилось такое, что видел первый раз: пустили большое количество трафика, спустя 15 минут пинги внутри туннеля пропали, канал считал себя живым больше часа, пока принудительно не сделал clear crypto ikev1 sa X.X.X.X, после чего канал оборвался/поднялся и всё заработало дальше.
 
Настройки с большего стандартные:
crypto map XXXX 10 set security-association lifetime seconds 86400
 
crypto ikev1 policy 10
 authentication pre-share
 encryption 3des
 hash md5
 group 2
 lifetime 86400
crypto ikev1 policy 65535
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
 
 
tunnel-group X.X.X.X ipsec-attributes
 ikev1 pre-shared-key *****
 isakmp keepalive threshold 600 retry 2
 
 
Из особенностей, которых я раньше не видел, в логах было такое:
Mar 03 2012 17:50:54: %ASA-5-713904: Group = X.X.X.X, IP = X.X.X.X, Phase 2 rekey collision, found centry 0x74744a40
 
Гугление по такой вещи ничего не дало.
 
В общем - часто ли такое бывает у кого-нибудь и гоняет ли кто-то большой трафик между ASA внутри IPSec?
Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 16:48 05-03-2012 | Исправлено: Bock, 16:58 05-03-2012
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
в моменты большого трафика посмотрите счетчики на интерфейсах, загрузку cpu.
вот эту команду можно было не писать
 isakmp keepalive threshold 600 retry 2
проверьте как работают keepaliv-ы.
пособирайте дебаги с isakmp
8.4(2) стоит достаточно давно на многих асах. пока проблем с l2l не было.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 00:23 06-03-2012
Bock



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
isakmp keepalive threshold 600 retry 2 - вот эту да, забыл вычистить именно с той стороны, сейчас убрал.
 
Рисковать прямо сейчас там немного стрёмно, ответственный продакшн.
Загрузка CPU была примерно процентов 30-35, трафика примерно мегабит 40, когда сложилось.
Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 09:32 07-03-2012
schukin



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Bock
А я бы наоборот с обоих сторон поставил isakmp keepalive но не 600 секунд а поменьше.
Keepalive запускается, если в туннеле не было траффика (в вашем случае 600) секунд, а затем запускается пустой шифрованный пакет, если на него нет ответа, то еще один (у вас стоит 2 раза)  если снова нет ответа, то сгенеренные туннельные ключи убираются, и идет попытка договориться о новых ключах.  
Но суть в том, что если такую штуку ставить только с одной стороны, то эта сторона и подчистит мертвый туннель, а вторая будет держать старые ключи, пока срок жизни их не истечет. Поэтому надо ставить такие строчки на обоих сторонах
Я обычно использую isakmp keepalive  threshold 10.  
Если нет траффика в течении 10 секунд пускай обменивается keepaliами.
А 600 секунд это многовато, для туннеля. То есть, если по каким-то причинам криптование остановилось, то в вашем случае туннель в течении 10 минут скорее всего будет лежать.
Всего записей: 36 | Зарегистр. 25-04-2006 | Отправлено: 06:38 10-03-2012
Bock



Junior Member		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Туннель лежал больше часа. Вот это и смущает.
isakmp keepalive сейчас поставил дефолтный, как раз 10 секунд и есть, по моему.
Ещё, видимо, поставить vpd-idle таймаут в none, иначе IPSec трафик падает, если нет активности полчаса.
Всякое бывает.
Всего записей: 103 | Зарегистр. 23-05-2004 | Отправлено: 14:21 12-03-2012
alexey63rus

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте, я новичок в CISCO.
случилась ситуация:
есть пул: L2TP-Pool 192.168.0.1-192.168.0.10 mask 255.255.255.0
новому клиенту присваивается например: ip 192.168.0.1 255.255.255.255 - не знаю почему все 255!!!!!!!!!!!
 
и локальный пул : ip address 192.168.1.1 netmask 255.255.255.0
 
адреса клиентам выдаются, но, с циски я их могу пинговать и они циску то же,
а вот из локальной сети я их не вижу и они локальную сеть офиса
 
PIX Version 8.0(4)32  
!
hostname PIX0
domain-name sat.local
enable password XXXXXXXXXXXXXXX encrypted
passwd XXXXXXXXXXXXXX encrypted
names
dns-guard
!
interface Ethernet0
nameif outside
security-level 0
ip address 55.112.60.102 255.255.255.252  
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0  
!
ftp mode passive
clock timezone AZST 4
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
name-server 22.213.0.12
name-server 22.213.2.1
domain-name sat.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service bank tcp
port-object eq 9443
port-object eq 8000
object-group service DM_INLINE_SERVICE_1
service-object tcp-udp eq domain  
service-object tcp eq 8000  
service-object tcp eq 9443  
service-object tcp eq www  
service-object tcp eq https  
service-object tcp eq pop3  
service-object tcp eq smtp  
service-object tcp eq ftp  
service-object icmp  
access-list DefaultRAGroup_splitTunnelAcl standard permit any  
access-list inside_access_in_1 extended permit object-group DM_INLINE_SERVICE_1 any any  
access-list inside_nat0_outbound extended permit ip any any  
pager lines 24
logging enable
logging timestamp
logging trap informational
logging asdm informational
logging facility 23
mtu outside 1500
mtu inside 1500
ip local pool L2TP-Pool 192.168.0.1-192.168.0.10 mask 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-615.bin
no asdm history enable
arp timeout 14400
global (outside) 1 55.112.60.101 netmask 255.255.255.252
global (outside) 101 interface
nat (inside) 101 0.0.0.0 0.0.0.0 dns
access-group inside_access_in_1 in interface inside
route outside 0.0.0.0 0.0.0.0 85.112.60.101 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
dynamic-access-policy-record DfltAccessPolicy
network-acl inside_nat0_outbound
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac  
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac  
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set AES-192-SHA ESP-3DES-SHA ESP-DES-SHA TRANS_ESP_3DES_SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 5
authentication pre-share
encryption 3des
hash sha
group 5
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
ssh version 2
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection scanning-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp authenticate
ntp server 22.117.76.141 source outside
ntp server 22.117.76.130 source outside prefer
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 192.168.1.1
vpn-tunnel-protocol IPSec l2tp-ipsec  
split-tunnel-policy tunnelall
split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl
group-policy DfltGrpPolicy attributes
vpn-idle-timeout none
split-tunnel-policy tunnelspecified
split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl
username users password /yvpt6OhMFdf4lx6zg== nt-encrypted privilege 1
username users attributes
vpn-tunnel-protocol l2tp-ipsec  
username usersm password /yvpt6OhMFdf4lx6zg== nt-encrypted privilege 1
username usersm attributes
vpn-tunnel-protocol l2tp-ipsec  
tunnel-group DefaultRAGroup general-attributes
address-pool L2TP-Pool
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map  
!
service-policy global_policy global
prompt hostname context  
: end
 
 
в логах вот что:
 
3 Mar 15 2012 12:12:04 305005 192.168.1.3 No translation group found for icmp src outside:192.168.0.1 dst inside:192.168.1.3 (type 8, code 0)
 
%ASA-3-305005: No translation group found for protocol src  
interface_name:source_address/source_port dst interface_name:  
dest_address/dest_port  
A packet does not match any of the outbound nat command rules. If NAT is not configured for the specified source and destination systems, this message will be generated frequently.
 
This message indicates a configuration error. If dynamic NAT is desired for the source host, ensure that the nat command matches the source IP address. If static NAT is desired for the source host, ensure that the local IP address of the static command matches. If no NAT is desired for the source host, check the ACL bound to the NAT 0 ACL.
Всего записей: 4 | Зарегистр. 08-08-2005 | Отправлено: 10:48 16-03-2012
ESX091

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
alexey63rus
Добавьте в конфиг nat 0.
Всего записей: 282 | Зарегистр. 23-04-2008 | Отправлено: 17:27 19-03-2012
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка Cisco PIX Firewall / ASA


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru