URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 24020
[ Назад ]

Исходное сообщение
"ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"
Отправлено N1ck , 28-Окт-25 14:19

Всем привет!
Есть ASA 5510 ver. 8.2 и PIX501 ver. 6.3, между ними настроен туннель.
ASA имеет подсеть 10.1.0.0 255.255.0.0 и PIX 192.168.7.0/24
Настроены ACL для подсетей, настроены NONAT на обеих сторонах, наложены криптокарты на interface outside, туннель поднимается.
На обеих сторонах на interface outside публичный внешний ip, есть единственная команда route и она выглядит как route outside 0.0.0.0 0.0.0.0 **.**.***.** 1 на шлюз провайдера.
Если к PIX подключить ПК в любой порт inside, настроить в ПК IP из подсети 192.168.7.* и шлюзом указать PIX то в обе стороны пинги успешно проходят, с ПК подключенного к PIX видны через туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой траффик ходит благодаря ACL и NONAT для криптокарты.
Вопрос - должны ли ходить пакеты в обе стороны, если на ПК, подключенному к PIX будет указан шлюзом не PIX а любое другое устройство в подсети 192.168.7?
По факту если шлюз не PIX то ничего не работает, можно только пингануть ASA на той стороне (management interface from inside включен) и наоборот сам PIX со стороны ASA. Но никакие другие IP в 192.168.7 из inside ASA через туннель не видны.

Содержание

ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями,ogiss, 07:35 , 29-Окт-25
ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями,Andrey, 09:05 , 29-Окт-25

Сообщения в этом обсуждении

"ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"
Отправлено ogiss , 29-Окт-25 07:35

по моему логично - шлюз (gateway) должен находится в той же сети где и ПК

"ASA 5510 + PIX501 + S-2-S Туннель + пинг между подсетями"
Отправлено Andrey , 29-Окт-25 09:05

>[оверквотинг удален]
> стороны пинги успешно проходят, с ПК подключенного к PIX видны через
> туннель ПК, подключенные к ASA, можно заходить по RDP, т.е. любой
> траффик ходит благодаря ACL и NONAT для криптокарты.
> Вопрос - должны ли ходить пакеты в обе стороны, если на ПК,
> подключенному к PIX будет указан шлюзом не PIX а любое другое
> устройство в подсети 192.168.7?
> По факту если шлюз не PIX то ничего не работает, можно только
> пингануть ASA на той стороне (management interface from inside включен) и
> наоборот сам PIX со стороны ASA. Но никакие другие IP в
> 192.168.7 из inside ASA через туннель не видны.
Если вы ставите в качестве маршрутизатора, хост, который не является маршрутизирующим узлом, а обычную рядовую станцию, вы чего хотите получить? У вас эти хосты, которые вы прописываете маршрутизатом умеют proxy-arp?