dzięki za pomoc. faktycznie problem był z natem.
zrobiłem rekonfigurację sieci i zamiast używania routera skonfigurowałem routing na switchu HP 5412zl, który obsługuje dwa vlany (10.10.20.0/24 i 192.168.0.0/21). Vany mają IP odpowiednio: 10.10.20.1 i 192.168.0.25. Default route na switchu wskazuje na ASA (192.168.0.1).
Po podłączeniu hostów do podsieci 10.x ucieszyłem się, gdyż wszystko ładnie się pinguje, np. pinguję z stacji 192.168.1.21 adres 10.10.20.180 (jest to serwer).
Ale zauważyłem, że po RDP do serwera podłączyć się nie mogę. Nie jest to problem z RDP, bo po zmianie bramy na stacji (192.168.1.21) ze 192.168.0.1 na 192.168.0.25 połączyć po RDP się mogę. To samo się tyczy urządzeń pracujących w podsieci 10.x, do których próbuję się połączyć po http lub https. Po zmianei bramy łącze się normalnie.
Sprawdziłem komunikację packet-tracerem i zmodyfikowałem access-listy. Dodałem:
Kod: Zaznacz cały
access-list inside_access_in extended permit ip 192.168.0.0 255.255.248.0 10.10.20.0 255.255.255.0
access-list inside_access_out extended permit ip any any
Obecnie wynik
packet-tracer input inside tcp 192.168.1.21 2793 10.10.20.100 http pokazuje mi:
Kod: Zaznacz cały
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
Mimo to, nadal http czy rdp nie działa... w logach ASA jest wpis:
Kod: Zaznacz cały
Deny TCP (no connection) from 192.168.1.21/5872 to 10.10.20.180/3389 flags RST on interface inside
Zrobiłem dalsze badanie - w drugą stronę:
Kod: Zaznacz cały
hl-asa-1# packet-tracer input inside tcp 10.10.20.100 http 192.168.1.21 2793 de
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in inside-network 255.255.248.0 inside
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0xaba4c4f8, priority=11, domain=permit, deny=true
hits=14, user_data=0x5, cs_id=0x0, flags=0x0, protocol=0
src ip=0.0.0.0, mask=0.0.0.0, port=0
dst ip=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
W czym może tkwić problem?