CCIE.pl

Głosy oddane na: Wroc, Krakow, Waw

Problem udało się rozwiązać, a rozwiązanie okazało się być proste a zarazem nielogiczne. Wystarczy dodać: route Network_OUT 0 0 Brama 50 Mimo że trasa nie jest widoczna w: sh route pakiety z drugiego łącza internetowego zaczynają docierać do interfejsów wewnętrznych... to by było tyle odnośnie logik...

Te połączenia nie są 'existing' słusznie, ale wygląda to dosyć znajomo.
Może ktoś zajrzy w ten topic kto walczył z podobnym problemem.

Tylko że u mnie ICMP z internetu dociera do hosta, więc raczej mój przypadek różni się od tego...

No to rewelacja... co prawda u mnie niema żadnego natu, ale opis wygląda bliźniaczo do mojego.

ad.1 sprawdzałem już to bez set interface nic nie dało
ad. 2 sprawdzę i dam znać

Do asy nie zestawisz tunelu, musisz zrobić ipsec'a do asy poprzez opisanie podsieci jakie chcesz tunelować i wskazać adresacje lokalną która jest po stronie ASA na port GigabitEthernet0/0 czyli zmienisz ip route 172.17.2.0 255.255.255.0 Tunnel1 na Gig0/0. Czyli musisz zrobić crypto mape którą przypn...

Ad.1 Babol przy zmienianiu nazw interfejsów jest jedno Network_OUT, poprawiłem do świata wychodzę Network_OUT i wchodzę do środka

Ad.2 FirePower działa w trybie monitor only, więc nie ma prawa dropować ruchu, nawet jak wywalę inspekcje na sfra to i tak nie działa.

8) Witam wszystkich! Tym razem ja napotkałem problem którego przeskoczyć nie potrafię (sam). Mianowicie chodzi o nową funkcjonalność w Cisco ASA a mianowicie PBR. Skonfigurowałem go i wyglądał że działa dobrze, a mianowicie z wewnątrz ruch do internetu wychodzi, nie jest natowany, hosty mają przypis...

Zdaje mi się że Koledze chodzi o sprawdzenie tego na routerze czy coś wpada, polecam komendy: - sh ip nat translation (wyjustuje Ci translacje) - sh ip nat statistics (będziesz miał tutaj statystyki, czy coś wpada, dropy) bardzo przydatne Debugi (tutaj uważaj raz udało mi się zawiesić 7200 że tylko ...

Szukam jednego bądź nawet dwóch serwerów MCS-7825-I2
Jak ktoś ma proszę o kontakt.

Jeśli interfejs jest monitorowany to tak (domyślnie monitorowane są wszystkie interfejsy fizyczne), mechanizm zadziała ponieważ na ASA interfejs zmieni Ci status na down. Polecam doczytać (wszystko fajnie wyjaśnione): http://www.cisco.com/c/en/us/td/docs/security/asa/asa80/configuration/guide/conf_g...

Super że działa :) A co do tego że po nazwie Ci nie wchodziło, pewnie Orange blokuje ruch, i jest tylko jeden słuszny serwer DNS który dostajesz przy połączeniu PPP. Dlatego wtedy trzeba było by zrobić tak: Dialer0 ppp ipcp dns request accept Następnie w puli DHCP zmiana wpisu na dns-server 192.168....

Dodaj wpis i zobaczysz, nigdy nie kombinowałem na te dwa sposoby.
Ale jeśli oba wpisy będą widnieć w configu to zapewne logi będzie słał tu i tu.

Spróbuj jeszcze podnieść IOS do najnowszej wersji jaką masz dostępną.

W tunel będzie wpadać to co mu dasz w ACLke, czy to zrobisz tunel gre, czy po prostu dopasowanie ruchu co ma być szyfrowane, ale będzie to się odbywać od Lo do Lo, natomiast ethernetami będzie normalny ruch po IP.

Tak z Linuxem też to zadziała

Tak można, tylko zrób na nich loopbacki, dla jednego będzie to source a drugiego destynation.
Wrzucisz je w ACLke i po sprawie. Pamiętaj że musisz mieć do nich routing.