forum.opennet.ru - "Не удается подключится к роутеру" (27)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Не удается подключится к роутеру"

Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Не удается подключится к роутеру"	+/–
Сообщение от async (ok) on 28-Июл-11, 11:40
Доброго времени суток. Компания приобрела ASA5505 для замены прежнего Unix маршрутизатора. Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки. С удивлением для себя обнаружил, что подключится к нему с рабочей станции, находящейся в локальной сети я не могу. Но зато могу подключиться через любой промежуточный сервер, находящийся с роутером в общей DMZ зоне. Интернет доступ в свою очередь работает. в access-list добавлено правило 10 line 1 extended permit ip any any. Схема в виде изображения размещена http://www.fayloobmennik.net/832665 У кого есть идеи где может быть подвох.
Ответить \| Правка \| Cообщить модератору

Оглавление

Не удается подключится к роутеру, qwek, 20:51 , 28-Июл-11, (1)
Не удается подключится к роутеру, OvDP, 09:44 , 29-Июл-11, (2)

Не удается подключится к роутеру, async, 10:34 , 29-Июл-11, (3) –1

Не удается подключится к роутеру, OvDP, 10:49 , 29-Июл-11, (4)

Не удается подключится к роутеру, async, 10:54 , 29-Июл-11, (5)

Не удается подключится к роутеру, OvDP, 11:28 , 29-Июл-11, (6)
Не удается подключится к роутеру, qwek, 11:38 , 29-Июл-11, (7)

Не удается подключится к роутеру, OvDP, 11:40 , 29-Июл-11, (8)

Не удается подключится к роутеру, async, 12:06 , 29-Июл-11, (9)

Не удается подключится к роутеру, qwek, 13:37 , 29-Июл-11, (12)

Не удается подключится к роутеру, async, 12:06 , 29-Июл-11, (10)

Не удается подключится к роутеру, OvDP, 13:14 , 29-Июл-11, (11)

Не удается подключится к роутеру, Aleks305, 13:43 , 29-Июл-11, (14)

Не удается подключится к роутеру, qwek, 13:39 , 29-Июл-11, (13)

Не удается подключится к роутеру, Aleks305, 13:47 , 29-Июл-11, (15)

Не удается подключится к роутеру, async, 14:34 , 29-Июл-11, (16)

Не удается подключится к роутеру, async, 14:36 , 29-Июл-11, (17)

Не удается подключится к роутеру, qwek, 16:33 , 29-Июл-11, (18)

Не удается подключится к роутеру, гость, 16:51 , 29-Июл-11, (19)
Не удается подключится к роутеру, async, 17:02 , 29-Июл-11, (20)
Не удается подключится к роутеру, qwek, 19:14 , 29-Июл-11, (21)
Не удается подключится к роутеру, async, 11:18 , 01-Авг-11, (22)
Не удается подключится к роутеру, OvDP, 12:36 , 01-Авг-11, (23)
Не удается подключится к роутеру, async, 15:00 , 01-Авг-11, (24)
Не удается подключится к роутеру, OvDP, 18:49 , 01-Авг-11, (25)
Не удается подключится к роутеру, async, 14:51 , 03-Авг-11, (26)
Не удается подключится к роутеру, OvDP, 17:25 , 03-Авг-11, (27)

Сообщения по теме [Сортировка по времени | RSS]

1. "Не удается подключится к роутеру" +/–

Сообщение от qwek (ok) on 28-Июл-11, 20:51

> Доброго времени суток.
> У кого есть идеи где может быть подвох.
Таблицу маршрутизации cisco не хотите показать?
show ip route

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 29-Июл-11, 09:44

> Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки.
конфиг покажите полный

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Не удается подключится к роутеру" –1 +/–

Сообщение от async (ok) on 29-Июл-11, 10:34

: Saved
:
ASA Version 8.2(1)
!
hostname Router
domain-name dmz
enable password xxxxxxxx encrypted
passwd xxxxxxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 85.85.85.115 255.255.255.240
!
interface Vlan2
nameif outside
security-level 0
ip address 85.85.84.17 255.255.255.128
!
interface Vlan5
no forward interface Vlan1
nameif dmz
security-level 50
ip address dhcp
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name dmz
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service rdp tcp
description Remote Desktop
port-object eq 3389
access-list inside_access_in extended permit ip any any log disable
access-list inside_access_in_1 extended permit ip any any log emergencies
access-list 1 standard permit any
access-list outside_access_in extended permit ip any any log disable
access-list inside_test extended permit icmp any any
access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.192
access-list 10 extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
ip local pool vpn 192.168.250.10-192.168.250.50 mask 255.255.255.0
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list inside_nat0_outbound
static (outside,inside) tcp 85.85.85.116 3389 85.85.84.17 3389 netmask 255.255.255.255
access-group inside_access_in in interface inside control-plane
access-group inside_access_in_1 in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 85.85.84.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
http 85.85.85.0 255.255.255.0 inside
snmp-server host inside 85.30.238.116 community my_community version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca server
shutdown
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh scopy enable
ssh 85.85.85.0 255.255.255.240 inside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd auto_config outside
!
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
webvpn
username monitor password KEQRmOrieLtgCIos encrypted privilege 15
username monitor attributes
service-type nas-prompt
username admin password JNn1gpG255bKRs.r encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool vpn
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
!
!
privilege cmd level 3 mode exec command perfmon
privilege cmd level 3 mode exec command ping
privilege cmd level 3 mode exec command who
privilege cmd level 3 mode exec command logging
privilege cmd level 3 mode exec command failover
privilege show level 5 mode exec command import
privilege show level 5 mode exec command running-config
privilege show level 3 mode exec command reload
privilege show level 3 mode exec command mode
privilege show level 3 mode exec command firewall
privilege show level 3 mode exec command asp
privilege show level 3 mode exec command cpu
privilege show level 3 mode exec command interface
privilege show level 3 mode exec command clock
privilege show level 3 mode exec command dns-hosts
privilege show level 3 mode exec command access-list
privilege show level 3 mode exec command logging
privilege show level 3 mode exec command vlan
privilege show level 3 mode exec command ip
privilege show level 3 mode exec command ipv6
privilege show level 3 mode exec command failover
privilege show level 3 mode exec command asdm
privilege show level 3 mode exec command arp
privilege show level 3 mode exec command route
privilege show level 3 mode exec command ospf
privilege show level 3 mode exec command aaa-server
privilege show level 3 mode exec command aaa
privilege show level 3 mode exec command eigrp
privilege show level 3 mode exec command crypto
privilege show level 3 mode exec command vpn-sessiondb
privilege show level 3 mode exec command ssh
privilege show level 3 mode exec command dhcpd
privilege show level 3 mode exec command vpnclient
privilege show level 3 mode exec command vpn
privilege show level 3 mode exec command blocks
privilege show level 3 mode exec command wccp
privilege show level 3 mode exec command dynamic-filter
privilege show level 3 mode exec command webvpn
privilege show level 3 mode exec command module
privilege show level 3 mode exec command uauth
privilege show level 3 mode exec command compression
privilege show level 3 mode configure command interface
privilege show level 3 mode configure command clock
privilege show level 3 mode configure command access-list
privilege show level 3 mode configure command logging
privilege show level 3 mode configure command ip
privilege show level 3 mode configure command failover
privilege show level 5 mode configure command asdm
privilege show level 3 mode configure command arp
privilege show level 3 mode configure command route
privilege show level 3 mode configure command aaa-server
privilege show level 3 mode configure command aaa
privilege show level 3 mode configure command crypto
privilege show level 3 mode configure command ssh
privilege show level 3 mode configure command dhcpd
privilege show level 5 mode configure command privilege
privilege clear level 3 mode exec command dns-hosts
privilege clear level 3 mode exec command logging
privilege clear level 3 mode exec command arp
privilege clear level 3 mode exec command aaa-server
privilege clear level 3 mode exec command crypto
privilege clear level 3 mode exec command dynamic-filter
privilege cmd level 3 mode configure command failover
privilege clear level 3 mode configure command logging
privilege clear level 3 mode configure command arp
privilege clear level 3 mode configure command crypto
privilege clear level 3 mode configure command aaa-server
prompt hostname context
Cryptochecksum:xxxxxxxxxxxxxxxxxx
: end

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 29-Июл-11, 10:49

что то у вас пояснения на рисунке не совпадают с конфигой... ещё раз подробнее опишите проблему. что куда цепляете и от куда есть/нет конекта к асе
да и Vlan5 не назначен ни на какой интерфейс...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 29-Июл-11, 10:54

CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, который выполняет NAT из локальной сети. Но с локальной сети CISCO не видна.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 29-Июл-11, 11:28

> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
> который выполняет NAT из локальной сети. Но с локальной сети CISCO
> не видна.
а зачем такое странное подключение через юникс?
если напрямую подцепиться к асе компом то есть конект?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Не удается подключится к роутеру" +/–

Сообщение от qwek (ok) on 29-Июл-11, 11:38

> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
> который выполняет NAT из локальной сети. Но с локальной сети CISCO
> не видна.
Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall и не получаете доступа по ssh, это верно?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 29-Июл-11, 11:40

>> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является
>> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора,
>> который выполняет NAT из локальной сети. Но с локальной сети CISCO
>> не видна.
> Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall
> и не получаете доступа по ssh, это верно?
vlan5 судя по конфигу никуда не назначен

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 29-Июл-11, 12:06

Напрямую подключаюсь без проблем.
С Unix подключаюсь без проблем, так как он находится в одной IP сети с ASA5505.
Unix  - корпоративный VPN сервер.
Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в локальной сети (192.168.100.111 пример.)
У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для локальной сети.
Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) в которой одним интерфесом смотрят ряд серверов в том числе этот же Unix Firewall и внутренний интерфейс CISCO ASA 5505.
Существует только Vlan 1 и Vlan 2  - внешний и внутрений интерфейс ASA. Vlan 5 остался в конфиге он в принципе не нужен его я просто удалю из конфига.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Не удается подключится к роутеру" +/–

Сообщение от qwek (ok) on 29-Июл-11, 13:37

>[оверквотинг удален]
> Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в
> локальной сети (192.168.100.111 пример.)
> У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для
> локальной сети.
> Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х)
> в которой одним интерфесом смотрят ряд серверов в том числе этот
> же Unix Firewall и внутренний интерфейс CISCO ASA 5505.
> Существует только Vlan 1 и Vlan 2  - внешний и внутрений
> интерфейс ASA. Vlan 5 остался в конфиге он в принципе не
> нужен его я просто удалю из конфига.
Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 29-Июл-11, 12:06

как уже писал по SSH могу попасть только если нахожусь с ASA в одной IP сети.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

11. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 29-Июл-11, 13:14

> как уже писал по SSH могу попасть только если нахожусь с ASA
> в одной IP сети.
дизайн у вас всё же странный... цепочка какая то... у асы base лицензия? зачем впн сервер в разрыв если аса умеет принимать впн и делать нат?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Не удается подключится к роутеру" +/–

Сообщение от Aleks305 (ok) on 29-Июл-11, 13:43

>> как уже писал по SSH могу попасть только если нахожусь с ASA
>> в одной IP сети.
> дизайн у вас всё же странный... цепочка какая то... у асы base
> лицензия? зачем впн сервер в разрыв если аса умеет принимать впн
> и делать нат?
покажите show route. на unix nat есть?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Не удается подключится к роутеру" +/–

Сообщение от qwek (ok) on 29-Июл-11, 13:39

> как уже писал по SSH могу попасть только если нахожусь с ASA
> в одной IP сети.
Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco через nat?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Не удается подключится к роутеру" +/–

Сообщение от Aleks305 (ok) on 29-Июл-11, 13:47

>> как уже писал по SSH могу попасть только если нахожусь с ASA
>> в одной IP сети.
> Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco
> через nat?
ssh 85.85.85.0 255.255.255.240 inside
ssh 0.0.0.0 0.0.0.0 inside
попробуйте оставить одну строчку

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 29-Июл-11, 14:34

Комрады привел вот к такому состоянию конфиг:

Rt-Onlime# show running-config
: Saved
:
ASA Version 8.2(1)
!
hostname Rt-Onlime
domain-name dmz
enable password 8xxxx encrypted
passwd Kxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 85.85.85.115 255.255.255.240
!
interface Vlan2
nameif outside
security-level 100
ip address 85.85.84.17 255.255.255.128
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name dmz
access-list 10 extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
no asdm history enable
arp timeout 14400
route outside 0.0.0.0 0.0.0.0 85.30.202.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
http server enable
http 85.30.238.0 255.255.255.0 inside
snmp-server host inside 85.30.238.116 community my_community version 2c
no snmp-server location
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 90
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
no threat-detection basic-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
username admin password vxxxx encrypted privilege 15
tunnel-group DefaultRAGroup general-attributes
address-pool vpn
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
!
!
prompt hostname context
Cryptochecksum:xxx
: end

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 29-Июл-11, 14:36

Rt-Onlime# show route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route
Gateway of last resort is 85.30.202.1 to network 0.0.0.0
C    85.30.202.0 255.255.255.128 is directly connected, outside
C    85.30.238.112 255.255.255.240 is directly connected, inside
S*   0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Не удается подключится к роутеру" +/–

Сообщение от qwek (ok) on 29-Июл-11, 16:33

> C    85.30.202.0 255.255.255.128 is directly connected, outside
> C    85.30.238.112 255.255.255.240 is directly connected, inside
> S*   0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside
Давайте отделим котлеты от мух.
Доступ по ssh:
ssh scopy enable
ssh 0.0.0.0 0.0.0.0 inside
разрешен

подключение со стороны Unix Firewal и подсети 85.85.85.0 255.255.255.240 осуществляется без проблем
доступ со стороны локальной сети через NAT не получается никак.
С моей точки зрения проблема в Unix Firewall. Попробуйте для своего ip адреса локального поднять алиас на Unix Firewall, для начала. Затем проверьте внимательно правила ipfw (или чего там у вас) на Unix Firewall, вдруг чего не доглядели. Отпишитесь о результате.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Не удается подключится к роутеру" +/–

Сообщение от гость on 29-Июл-11, 16:51

алиасов не нада, проблема на фре, нат неправильно отрабатывает, как нат реализован через natd, kernel nat? ipfw show | grep divert для natd, ps-ax | grep natd для него же, если кернел нат ipfw show | grep nat, по циферке ната посмотреть ipfw nat # show config, обнулить счетчики правил и посмотреть попадают ли пакеты под правила, tcpdump'ом послушать пакеты на интерфейсе, который с циской в одной подсети, посмотреть заголовки с каким айпи пакеты уходят, вобщем все просто и диагностики на 10 минут максимум.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 29-Июл-11, 17:02

В случае если заменить ASA5505 на Cisco 800 связь из локальной сети работает.
Nat реализован средствами natd все пакеты транслируются корректно.
Напомню что на ASA5505 permit ip any any.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Не удается подключится к роутеру" +/–

Сообщение от qwek (ok) on 29-Июл-11, 19:14

> В случае если заменить ASA5505 на Cisco 800 связь из локальной сети
> работает.
> Nat реализован средствами natd все пакеты транслируются корректно.
> Напомню что на ASA5505 permit ip any any.
ssh version 2 на обоих?
Кстати, с праздником всех.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 01-Авг-11, 11:18

Да оба маршрутизатора использую вторую версию Secure Shell.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 01-Авг-11, 12:36

> Да оба маршрутизатора использую вторую версию Secure Shell.
глупый наверно вопрос: а из локальной сети инсайдовский интерфейс асы пингуется?

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 01-Авг-11, 15:00

собственно на него как раз и не удается попасть. Нет не пингуется. Внешний с мира пингуется нормально.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 01-Авг-11, 18:49

> собственно на него как раз и не удается попасть. Нет не пингуется.
> Внешний с мира пингуется нормально.
вы упомянули что если ставите рутер на место асы то конект из локалки есть... покажите sh ip route c рутера. и попробуйте на асе прописать роут на локальную сеть в сторону юникса и посмотреть будет ли конект/пинг из локальной сети.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Не удается подключится к роутеру" +/–

Сообщение от async (ok) on 03-Авг-11, 14:51

Зачем route у меня же NAT.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Не удается подключится к роутеру" +/–

Сообщение от OvDP (ok) on 03-Авг-11, 17:25

> Зачем route у меня же NAT.
есть подозрение на некорректную работу ната.
sh ip route от рутера + роут на фаервол возможно прояснят ситуацию.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Не удается подключится к роутеру"	+/–
Сообщение от qwek (ok) on 28-Июл-11, 20:51
> Доброго времени суток. > У кого есть идеи где может быть подвох. Таблицу маршрутизации cisco не хотите показать? show ip route
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

2. "Не удается подключится к роутеру"	+/–
Сообщение от OvDP (ok) on 29-Июл-11, 09:44
> Установив и настроив его в режиме роутера ( используя консольный порт, а так же прямое ethernet подключение) я разместил его в DMZ для дальнейшей корректировки. конфиг покажите полный
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Не удается подключится к роутеру"	–1 +/–
	Сообщение от async (ok) on 29-Июл-11, 10:34
	: Saved : ASA Version 8.2(1) ! hostname Router domain-name dmz enable password xxxxxxxx encrypted passwd xxxxxxxxx encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 85.85.85.115 255.255.255.240 ! interface Vlan2 nameif outside security-level 0 ip address 85.85.84.17 255.255.255.128 ! interface Vlan5 no forward interface Vlan1 nameif dmz security-level 50 ip address dhcp ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name dmz same-security-traffic permit inter-interface same-security-traffic permit intra-interface object-group service rdp tcp description Remote Desktop port-object eq 3389 access-list inside_access_in extended permit ip any any log disable access-list inside_access_in_1 extended permit ip any any log emergencies access-list 1 standard permit any access-list outside_access_in extended permit ip any any log disable access-list inside_test extended permit icmp any any access-list inside_nat0_outbound extended permit ip any 192.168.250.0 255.255.255.192 access-list 10 extended permit ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 mtu dmz 1500 ip local pool vpn 192.168.250.10-192.168.250.50 mask 255.255.255.0 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside no asdm history enable arp timeout 14400 nat (inside) 0 access-list inside_nat0_outbound static (outside,inside) tcp 85.85.85.116 3389 85.85.84.17 3389 netmask 255.255.255.255 access-group inside_access_in in interface inside control-plane access-group inside_access_in_1 in interface inside access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 85.85.84.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL http server enable http 192.168.1.0 255.255.255.0 inside http 85.85.85.0 255.255.255.0 inside snmp-server host inside 85.30.238.116 community my_community version 2c no snmp-server location no snmp-server contact snmp-server community ***** snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set TRANS_ESP_DES_SHA esp-des esp-sha-hmac crypto ipsec transform-set TRANS_ESP_DES_SHA mode transport crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs group1 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5 crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map outside_map interface outside crypto ca server shutdown crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet timeout 5 ssh scopy enable ssh 85.85.85.0 255.255.255.240 inside ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 console timeout 0 management-access inside dhcpd auto_config outside ! threat-detection basic-threat threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 webvpn username monitor password KEQRmOrieLtgCIos encrypted privilege 15 username monitor attributes service-type nas-prompt username admin password JNn1gpG255bKRs.r encrypted privilege 15 tunnel-group DefaultRAGroup general-attributes address-pool vpn tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * ! ! privilege cmd level 3 mode exec command perfmon privilege cmd level 3 mode exec command ping privilege cmd level 3 mode exec command who privilege cmd level 3 mode exec command logging privilege cmd level 3 mode exec command failover privilege show level 5 mode exec command import privilege show level 5 mode exec command running-config privilege show level 3 mode exec command reload privilege show level 3 mode exec command mode privilege show level 3 mode exec command firewall privilege show level 3 mode exec command asp privilege show level 3 mode exec command cpu privilege show level 3 mode exec command interface privilege show level 3 mode exec command clock privilege show level 3 mode exec command dns-hosts privilege show level 3 mode exec command access-list privilege show level 3 mode exec command logging privilege show level 3 mode exec command vlan privilege show level 3 mode exec command ip privilege show level 3 mode exec command ipv6 privilege show level 3 mode exec command failover privilege show level 3 mode exec command asdm privilege show level 3 mode exec command arp privilege show level 3 mode exec command route privilege show level 3 mode exec command ospf privilege show level 3 mode exec command aaa-server privilege show level 3 mode exec command aaa privilege show level 3 mode exec command eigrp privilege show level 3 mode exec command crypto privilege show level 3 mode exec command vpn-sessiondb privilege show level 3 mode exec command ssh privilege show level 3 mode exec command dhcpd privilege show level 3 mode exec command vpnclient privilege show level 3 mode exec command vpn privilege show level 3 mode exec command blocks privilege show level 3 mode exec command wccp privilege show level 3 mode exec command dynamic-filter privilege show level 3 mode exec command webvpn privilege show level 3 mode exec command module privilege show level 3 mode exec command uauth privilege show level 3 mode exec command compression privilege show level 3 mode configure command interface privilege show level 3 mode configure command clock privilege show level 3 mode configure command access-list privilege show level 3 mode configure command logging privilege show level 3 mode configure command ip privilege show level 3 mode configure command failover privilege show level 5 mode configure command asdm privilege show level 3 mode configure command arp privilege show level 3 mode configure command route privilege show level 3 mode configure command aaa-server privilege show level 3 mode configure command aaa privilege show level 3 mode configure command crypto privilege show level 3 mode configure command ssh privilege show level 3 mode configure command dhcpd privilege show level 5 mode configure command privilege privilege clear level 3 mode exec command dns-hosts privilege clear level 3 mode exec command logging privilege clear level 3 mode exec command arp privilege clear level 3 mode exec command aaa-server privilege clear level 3 mode exec command crypto privilege clear level 3 mode exec command dynamic-filter privilege cmd level 3 mode configure command failover privilege clear level 3 mode configure command logging privilege clear level 3 mode configure command arp privilege clear level 3 mode configure command crypto privilege clear level 3 mode configure command aaa-server prompt hostname context Cryptochecksum:xxxxxxxxxxxxxxxxxx : end
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 29-Июл-11, 10:49
	что то у вас пояснения на рисунке не совпадают с конфигой... ещё раз подробнее опишите проблему. что куда цепляете и от куда есть/нет конекта к асе да и Vlan5 не назначен ни на какой интерфейс...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 29-Июл-11, 10:54
	CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, который выполняет NAT из локальной сети. Но с локальной сети CISCO не видна.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 29-Июл-11, 11:28
	> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является > внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, > который выполняет NAT из локальной сети. Но с локальной сети CISCO > не видна. а зачем такое странное подключение через юникс? если напрямую подцепиться к асе компом то есть конект?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Не удается подключится к роутеру"	+/–
	Сообщение от qwek (ok) on 29-Июл-11, 11:38
	> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является > внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, > который выполняет NAT из локальной сети. Но с локальной сети CISCO > не видна. Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall и не получаете доступа по ssh, это верно?
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	8. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 29-Июл-11, 11:40
	>> CISCO ASA 5505 находится за Unix Firewall относительно локальной сети и является >> внешним маршрутизатором. Cisco доступен для удаленного подключения с Unix маршрутизатора, >> который выполняет NAT из локальной сети. Но с локальной сети CISCO >> не видна. > Я так понял вы подключаетесь непосредственно на interface Vlan5 минуя Unix Firewall > и не получаете доступа по ssh, это верно? vlan5 судя по конфигу никуда не назначен
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 29-Июл-11, 12:06
	Напрямую подключаюсь без проблем. С Unix подключаюсь без проблем, так как он находится в одной IP сети с ASA5505. Unix - корпоративный VPN сервер. Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в локальной сети (192.168.100.111 пример.) У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для локальной сети. Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) в которой одним интерфесом смотрят ряд серверов в том числе этот же Unix Firewall и внутренний интерфейс CISCO ASA 5505. Существует только Vlan 1 и Vlan 2 - внешний и внутрений интерфейс ASA. Vlan 5 остался в конфиге он в принципе не нужен его я просто удалю из конфига.
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	12. "Не удается подключится к роутеру"	+/–
	Сообщение от qwek (ok) on 29-Июл-11, 13:37
	>[оверквотинг удален] > Задача получить возможность подключаться к CISCO ASA 5505 подключаться с компьютера в > локальной сети (192.168.100.111 пример.) > У Unix сервера 1 интерфейс имеет адрес 192.168.100.1 он же шлюз для > локальной сети. > Далее он натирует адреса в сеть(так называемую демилиторизованую сеть с адресами 85.85.84.х) > в которой одним интерфесом смотрят ряд серверов в том числе этот > же Unix Firewall и внутренний интерфейс CISCO ASA 5505. > Существует только Vlan 1 и Vlan 2 - внешний и внутрений > интерфейс ASA. Vlan 5 остался в конфиге он в принципе не > нужен его я просто удалю из конфига. Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco?
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	10. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 29-Июл-11, 12:06
	как уже писал по SSH могу попасть только если нахожусь с ASA в одной IP сети.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	11. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 29-Июл-11, 13:14
	> как уже писал по SSH могу попасть только если нахожусь с ASA > в одной IP сети. дизайн у вас всё же странный... цепочка какая то... у асы base лицензия? зачем впн сервер в разрыв если аса умеет принимать впн и делать нат?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	14. "Не удается подключится к роутеру"	+/–
	Сообщение от Aleks305 (ok) on 29-Июл-11, 13:43
	>> как уже писал по SSH могу попасть только если нахожусь с ASA >> в одной IP сети. > дизайн у вас всё же странный... цепочка какая то... у асы base > лицензия? зачем впн сервер в разрыв если аса умеет принимать впн > и делать нат? покажите show route. на unix nat есть?
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Не удается подключится к роутеру"	+/–
	Сообщение от qwek (ok) on 29-Июл-11, 13:39
	> как уже писал по SSH могу попасть только если нахожусь с ASA > в одной IP сети. Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco через nat?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	15. "Не удается подключится к роутеру"	+/–
	Сообщение от Aleks305 (ok) on 29-Июл-11, 13:47
	>> как уже писал по SSH могу попасть только если нахожусь с ASA >> в одной IP сети. > Unix Firewal разрешает форвард пакетов от сети 192.168.100.0/24 до нужного интерфеса Cisco > через nat? ssh 85.85.85.0 255.255.255.240 inside ssh 0.0.0.0 0.0.0.0 inside попробуйте оставить одну строчку
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	16. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 29-Июл-11, 14:34
	Комрады привел вот к такому состоянию конфиг: Rt-Onlime# show running-config : Saved : ASA Version 8.2(1) ! hostname Rt-Onlime domain-name dmz enable password 8xxxx encrypted passwd Kxxxx encrypted names ! interface Vlan1 nameif inside security-level 100 ip address 85.85.85.115 255.255.255.240 ! interface Vlan2 nameif outside security-level 100 ip address 85.85.84.17 255.255.255.128 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name dmz access-list 10 extended permit ip any any pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside no asdm history enable arp timeout 14400 route outside 0.0.0.0 0.0.0.0 85.30.202.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL http server enable http 85.30.238.0 255.255.255.0 inside snmp-server host inside 85.30.238.116 community my_community version 2c no snmp-server location no snmp-server contact snmp-server community ***** snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 90 ssh scopy enable ssh 0.0.0.0 0.0.0.0 inside ssh timeout 60 console timeout 0 no threat-detection basic-threat no threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username admin password vxxxx encrypted privilege 15 tunnel-group DefaultRAGroup general-attributes address-pool vpn tunnel-group DefaultRAGroup ipsec-attributes pre-shared-key * ! ! prompt hostname context Cryptochecksum:xxx : end
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 29-Июл-11, 14:36
	Rt-Onlime# show route Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area * - candidate default, U - per-user static route, o - ODR P - periodic downloaded static route Gateway of last resort is 85.30.202.1 to network 0.0.0.0 C 85.30.202.0 255.255.255.128 is directly connected, outside C 85.30.238.112 255.255.255.240 is directly connected, inside S* 0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "Не удается подключится к роутеру"	+/–
	Сообщение от qwek (ok) on 29-Июл-11, 16:33
	> C 85.30.202.0 255.255.255.128 is directly connected, outside > C 85.30.238.112 255.255.255.240 is directly connected, inside > S* 0.0.0.0 0.0.0.0 [1/0] via 85.30.202.1, outside Давайте отделим котлеты от мух. Доступ по ssh: ssh scopy enable ssh 0.0.0.0 0.0.0.0 inside разрешен подключение со стороны Unix Firewal и подсети 85.85.85.0 255.255.255.240 осуществляется без проблем доступ со стороны локальной сети через NAT не получается никак. С моей точки зрения проблема в Unix Firewall. Попробуйте для своего ip адреса локального поднять алиас на Unix Firewall, для начала. Затем проверьте внимательно правила ipfw (или чего там у вас) на Unix Firewall, вдруг чего не доглядели. Отпишитесь о результате.
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "Не удается подключится к роутеру"	+/–
	Сообщение от гость on 29-Июл-11, 16:51
	алиасов не нада, проблема на фре, нат неправильно отрабатывает, как нат реализован через natd, kernel nat? ipfw show \| grep divert для natd, ps-ax \| grep natd для него же, если кернел нат ipfw show \| grep nat, по циферке ната посмотреть ipfw nat # show config, обнулить счетчики правил и посмотреть попадают ли пакеты под правила, tcpdump'ом послушать пакеты на интерфейсе, который с циской в одной подсети, посмотреть заголовки с каким айпи пакеты уходят, вобщем все просто и диагностики на 10 минут максимум.
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 29-Июл-11, 17:02
	В случае если заменить ASA5505 на Cisco 800 связь из локальной сети работает. Nat реализован средствами natd все пакеты транслируются корректно. Напомню что на ASA5505 permit ip any any.
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Не удается подключится к роутеру"	+/–
	Сообщение от qwek (ok) on 29-Июл-11, 19:14
	> В случае если заменить ASA5505 на Cisco 800 связь из локальной сети > работает. > Nat реализован средствами natd все пакеты транслируются корректно. > Напомню что на ASA5505 permit ip any any. ssh version 2 на обоих? Кстати, с праздником всех.
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 01-Авг-11, 11:18
	Да оба маршрутизатора использую вторую версию Secure Shell.
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 01-Авг-11, 12:36
	> Да оба маршрутизатора использую вторую версию Secure Shell. глупый наверно вопрос: а из локальной сети инсайдовский интерфейс асы пингуется?
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 01-Авг-11, 15:00
	собственно на него как раз и не удается попасть. Нет не пингуется. Внешний с мира пингуется нормально.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 01-Авг-11, 18:49
	> собственно на него как раз и не удается попасть. Нет не пингуется. > Внешний с мира пингуется нормально. вы упомянули что если ставите рутер на место асы то конект из локалки есть... покажите sh ip route c рутера. и попробуйте на асе прописать роут на локальную сеть в сторону юникса и посмотреть будет ли конект/пинг из локальной сети.
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "Не удается подключится к роутеру"	+/–
	Сообщение от async (ok) on 03-Авг-11, 14:51
	Зачем route у меня же NAT.
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "Не удается подключится к роутеру"	+/–
	Сообщение от OvDP (ok) on 03-Авг-11, 17:25
	> Зачем route у меня же NAT. есть подозрение на некорректную работу ната. sh ip route от рутера + роут на фаервол возможно прояснят ситуацию.
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору