ASA - ping do interfejsu inside przez tunel IPSEC

[Luc@sM]

witam,

mam sieć o prostej topologi LAN1----NON-CISCO----{INTERNET}----ASA5510<int inside>----LAN2. Pomiędzy NON-CISCO a ASA5510 jest tunel IPSEC. Hosty między sieciami LAN1 a LAN2 widzą się bez problemu.

Nie potrafię uruchomić możliwości pingowania z sieci LAN1 do interfejsu inside ASA5510 oraz bezpośrednio z ASA5510 do hostów w sieci LAN1.

Korzystam z funkcjonalności "route-based IPsec VPN" - cały ruch wpada w tunel:

Kod: Zaznacz cały

access-list vpn-traffic-2 extended deny icmp any host <adres IP outside ASA>
access-list vpn-traffic-2 extended deny icmp host <adres IP outside ASA> any
access-list vpn-traffic-2 extended permit ip any any
crypto map VPN 1 match address vpn-traffic-2

znalazłem dwa potencjalne rowiązania, które nie pomogły:
a) management-access inside
b) dodanie route-lookup do natu, ale nie korzystam w tym przypadku z natu.

wersja softu na ASA to: 8.4(2).

Proszę o jakieś sugestie.

pozdrawiam

[piter1789]

a włączyłeś inspekcję ICMP na asa? bo domyślnie jest wyłączona, a może "dodatek";)
bo sam kilka razy zapomniałem a potem miałem zdziwko że coś nie chodzi;)

[Luc@sM]

Kod: Zaznacz cały

policy-map global_policy
 class inspection_default
  inspect icmp
  inspect icmp error

tak, została włączona.

[Luc@sM]

Oczywiście ping to przykład. Generalnie potrzebuję monitorować interfejs inside po snmp oraz aktualizować czas na ASA5510 z serwerów, które znajdują się po drugiej stronie tunelu.

[piter1789]

Jak dalej to nie działa to mogę jutro zestawić w Labie przykład takiego VPN;) i sprawdzić czy się uda;)

[Luc@sM]

poproszę;)