Ich richte einen Cisco ASA 5505 mit der Basislizenz ein.
Die TCP/UDP-Kommunikation funktioniert von innen->außen, außen->innen, innen->sicher, was der von mir gewünschten Verkehrssicherheit entspricht.
HTTP, SSH und andere Zugriffe von inside->secure funktionieren, aber ich kann nicht von inside->secure pingen (Host 192.168.110.0 zum Host 192.168.7.1 oder 192.168.7.0).
Wie kann ich ICMP aktivieren?
Aufbau:
interface Vlan1
nameif inside
security-level 100
ip address 192.168.110.254 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group birdie
ip address removedIP 255.255.255.255 pppoe
!
interface Vlan3
no forward interface Vlan1
nameif secure
security-level 50
ip address 192.168.7.1 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 3
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
ftp mode passive
clock timezone EST -5
clock summer-time EDT recurring
access-list Outside-In extended permit icmp any any
access-list Outside-In extended permit tcp any any eq www
access-list Outside-In extended permit tcp any any eq https
access-list Outside-In extended permit tcp any any eq 5969
access-list inside_nat0_outbound extended permit ip any 192.168.111.0 255.255.255.224
access-list standardUser_splitTunnelAcl1 extended permit ip 192.168.111.0 255.255.255.0 any
access-list standardUser_splitTunnelAcl1 extended permit ip 192.168.110.0 255.255.255.0 any
access-list inside_in extended permit icmp any any
access-list inside_in extended permit ip any any
access-list secure_in extended permit icmp any any
access-list secure_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu inside 1492
mtu outside 1492
mtu secure 1500
ip local pool vpnuser 192.168.111.5-192.168.111.20
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
nat (secure) 1 192.168.7.0 255.255.255.0
static (inside,outside) tcp interface https 192.168.110.6 https netmask 255.255.255.255
static (inside,outside) tcp interface www 192.168.110.6 www netmask 255.255.255.255
static (inside,outside) tcp interface 5969 192.168.110.12 5969 netmask 255.255.255.255
static (inside,secure) 192.168.110.0 192.168.110.0 netmask 255.255.255.0
access-group inside_in in interface inside
access-group Outside-In in interface outside
access-group secure_in in interface secure
route outside 0.0.0.0 0.0.0.0 RemovedIP 1
Antwort1
Das einzige, was mir in Ihrer Konfiguration seltsam vorkommt, ist die static(inside,secure)Anweisung. Es scheint sich um einen No-Op zu handeln, da die zugeordneten und die tatsächlichen Adressen identisch sind. In meiner Konfiguration habe ich auch ein Netzwerk vom Typ DMZ und keine Anweisung. ( Für extern zugängliche Dienste static(inside,dmz)habe ich eine .)static(dmz,outside) ...
Versuchen Sie auf jeden Fall, die statische Aufladung zu entfernen und sehen Sie, welche Wirkung das hat.