https://www.opennet.dev/openforum/vsluhforumID6/430.html Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего интерфейса на хост в главном офисе проходит, когда от хоста внутренний интерфейс ASA пингую - не пингуется. <br><br>ASA Version 8.4(4)<br>!<br>interface Ethernet0/0<br> switchport access vlan 2<br>!<br>interface Ethernet0/1<br>!<br>interface Ethernet0/2<br>!<br>interface Ethernet0/3<br>!<br>interface Ethernet0/4<br>!<br>interface Ethernet0/5<br>!<br>interface Ethernet0/6<br>!<br>interface Ethernet0/7<br>!<br>interface Vlan1<br> nameif inside<br> security-level 100<br> ip address 192.168.249.1 255.255.255.240<br>!<br>interface Vlan2<br> nameif outside<br> security-level 0<br> pppoe client vpdn group inet<br> ip address pppoe setroute<br>!<br>ftp mode passive<br>dns server-group DefaultDNS<br> domain-name soglasie.ru<br>object network obj_any<br> subnet 0.0.0.0 0.0.0.0<br>object network obj-any<br> subnet 0.0.0.0 0.0.0.0<br>object network 172.16.0.0-16<br> subnet 172.16.0.0 255.255.0.0<br>object network 172.17.0.0-16<br> subnet 172.17.0.0 255.255.0.0<br>object network 192.168.2.0-24<br> subnet 192.168.2.0 255.25 https://www.opennet.dev/openforum/vsluhforumID6/430.html#8 Wed, 15 Jan 2014 08:18:58 GMT &gt;&gt; Пробовал - не помогает.<br>&gt; Так не бывает. Либо пробовали не то, либо не пробовали.<br>&gt; Покажите вывод вот этого: <br>&gt; sh run policy-map global_policy <br>&gt; и этого <br>&gt; sh run access-list <br><br>а разве на ciscoasa5505 работает management interface? У меня точь в точь такая же проблема, сейчас набрал:<br><br>asa5505(config)# interface ?<br><br>configure mode commands/options:<br> Ethernet IEEE 802.3<br> Vlan Catalyst Vlans<br> &lt;cr&gt;<br><br>Менеджмента нету.<br> https://www.opennet.dev/openforum/vsluhforumID6/430.html#7 Thu, 07 Feb 2013 06:08:50 GMT &gt;&gt; Добрый день.<br>&gt;&gt; Я как рах столкнулась с проблемой, что не могу с локального интерфейса <br>&gt;&gt; асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель <br>&gt;&gt; нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это <br>&gt;&gt; может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is <br>&gt;&gt; denied by configured rule. Хотя с аксесс листом any any permit <br>&gt;&gt; на все протоколы ошибка остается. А так в логах при попытке <br>&gt;&gt; инициализации выдает <br>&gt;&gt; <br>&gt; покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa <br><br> Active SA: 4<br> Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)<br>Total IKE SA: 4<br><br>4 IKE Peer: 87.244.112.4<br> Type : L2L Role : initiator <br> Rekey : no State : MM_ACTIVE <br><br><br>interface: outside<br> Crypto map tag: outside_map0, seq num: 2, local addr: 86.32.171.70<br><br> access-list outside_2_cryptomap permit ip host 86.32.171.179 host 87.244.112.61 <br> local ident (addr/mas https://www.opennet.dev/openforum/vsluhforumID6/430.html#6 Wed, 06 Feb 2013 05:47:20 GMT &gt; Добрый день.<br>&gt; Я как рах столкнулась с проблемой, что не могу с локального интерфейса <br>&gt; асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель <br>&gt; нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это <br>&gt; может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is <br>&gt; denied by configured rule. Хотя с аксесс листом any any permit <br>&gt; на все протоколы ошибка остается. А так в логах при попытке <br>&gt; инициализации выдает <br>&gt; <br><br>покажите вывод команд: sh cry isakmp sa и sh cry ipsec sa<br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/430.html#5 Tue, 05 Feb 2013 06:42:31 GMT Добрый день.<br><br>Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает <br>%ASA-6-110003: Routing failed to locate next-hop for protocol from src <br>interface:src IP/src port to dest interface:dest IP/dest port.<br><br>Nat-control отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?<br><br>!<br>interface Ethernet0/0<br>nameif outside<br>security-level 0<br>ip address 5.6.7.8 255.255.255.252<br><br>interface Ethernet0/2.2<br>vlan 777<br>nameif office<br>security-level 0<br>ip address 1.2.3.4 255.255.255.248<br><br>object-group network DM_INLINE_NETWORK_4<br>network-object host 1.2.3 https://www.opennet.dev/openforum/vsluhforumID6/430.html#4 Tue, 05 Feb 2013 06:25:19 GMT &gt; Не пингуется внутренний интерфейс Cisco ASA 5505. Туннель работает. Пинг с внутреннего <br>&gt; интерфейса на хост в главном офисе проходит, когда от хоста внутренний <br>&gt; интерфейс ASA пингую - не пингуется.<br><br>Добрый день.<br> <br>Я как рах столкнулась с проблемой, что не могу с локального интерфейса асы поднять айписек туннель. Хотя через этот интерфейс маршрутизируемый хост туннель нормально поднимает. Железяка 5510, версия 8.2. У вас версия выше, это может зависеть от версии? Packet Tracer выдает ошибочку (acl-drop) Flow is denied by configured rule. Хотя с аксесс листом any any permit на все протоколы ошибка остается. А так в логах при попытке инициализации выдает run policy-map global_policy.<br><br>Nat-control отключала, security level на интерфейсах меняла, в nat exempt добавляла, inter-intra security тоже делала... В чем может быть косяк?<br><br>!<br>interface Ethernet0/0<br> nameif outside<br> security-level 0<br> ip address 5.6.7.8 255.255.255.252 <br><br>interface Ethernet0/2.2<br> vlan 777<br> nameif office<br> security-level 0 https://www.opennet.dev/openforum/vsluhforumID6/430.html#3 Thu, 10 Jan 2013 05:29:41 GMT &gt; Пробовал - не помогает.<br><br>Так не бывает. Либо пробовали не то, либо не пробовали.<br>Покажите вывод вот этого: <br>sh run policy-map global_policy<br><br>и этого<br>sh run access-list <br> https://www.opennet.dev/openforum/vsluhforumID6/430.html#2 Wed, 09 Jan 2013 13:20:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; tunnel-group **** ipsec-attributes <br>&gt;&gt; ikev1 pre-shared-key ***** <br>&gt;&gt; !<br>&gt;&gt; !<br>&gt;&gt; prompt hostname context <br>&gt;&gt; no call-home reporting anonymous <br>&gt;&gt; : end <br>&gt;&gt; icmp permit any пробовал - не работает.<br>&gt; читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно <br>&gt; решить с использованием management interface <br><br>Пробовал - не помогает. <br><br><br> https://www.opennet.dev/openforum/vsluhforumID6/430.html#1 Sun, 06 Jan 2013 13:41:02 GMT &gt;[оверквотинг удален]<br>&gt; ikev1 pre-shared-key ***** <br>&gt; tunnel-group **** type ipsec-l2l <br>&gt; tunnel-group **** ipsec-attributes <br>&gt; ikev1 pre-shared-key ***** <br>&gt; !<br>&gt; !<br>&gt; prompt hostname context <br>&gt; no call-home reporting anonymous <br>&gt; : end <br>&gt; icmp permit any пробовал - не работает.<br><br>читайте как работает ASA. то, о чем Вы говорите - нормальная реакция.можно решить с использованием management interface<br>