Лицензия Cisco ASA 5505, «истинное» интерфейсное подключение

По умолчанию ASA не разрешают трафику уровня безопасности входить в другой интерфейс того же уровня безопасности. Это ваша основная проблема. same-security-traffic permit intra-interfaceкоманда обязательна.

Использование: https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

ACL ALLOW_WIREDи ALLOW_WIRELESSопределены, но не применяются ни к одному интерфейсу. Кроме того, я рекомендую изменить ACL со стандартных ACL на расширенные ACL. Расширенные ACL позволяют контролировать трафик по источнику и месту назначения, а не только по источнику трафика.

Рекомендуемые изменения: (Обновлено 17.02.2017: Обновление списков контроля доступа для разрешения неограниченного исходящего доступа в соответствии с запросом)

no access-list ALLOW_WIRED standard permit 192.168.0.0 255.255.255.0
no access-list ALLOW_WIRELESS standard permit 192.168.100.0 255.255.255.224

same-security-traffic permit intra-interface

access-list ALLOW_WIRED_TO_WIRELESS extended permit ip 192.168.0.0 255.255.255.0 192.168.100.0 255.255.255.224
access-list ALLOW_WIRED_TO_WIRELESS extended permit ip any any
access-list ALLOW_WIRED_TO_WIRELESS remark *** Implicit Deny All ***

access-list ALLOW_WIRELESS_TO_WIRED extended permit ip 192.168.100.0 255.255.255.224 192.168.0.0 255.255.255.0
access-list ALLOW_WIRELESS_TO_WIRED extended permit ip any any
access-list ALLOW_WIRELESS_TO_WIRED remark *** Implicit Deny All ***

access-group ALLOW_WIRED_TO_WIRELESS in interface inside
access-group ALLOW_WIRELESS_TO_WIRED in interface wireless

Обратите внимание, что хотя первое правило в каждом списке ACL является избыточным, оно было добавлено, чтобы дать дополнительный контекст относительно того, как это правило используется.

Тестирование: Результатом всех выходных данных должно быть «Up».

packet-tracer input inside icmp 192.168.0.2 8 0 192.168.100.2 
packet-tracer input wireless icmp 192.168.100.2 8 0 192.168.0.2