Hola a todos,
tengo un problema con un ASA, bueno no es un problema es mas curiosidad, os explico: tengo configurado 2 interfaces, inside y dmz. el trafico entre ellos funciona correctamente pero cuando lanzo un ping desde una maquina en inside a la ip del interfaz y dmz no responde y la inversa tampoco. pero el ping entre las maquinas de dos interfaces si funciona correctamente
Os ha pasado alguna vez? sabeis porque puede ser?
muchas gracias y saludos.
Los ASA tienen reglas especificas cuando el trafico ICMP va destinado a sus propias interfaces u originado en ellas. Ha de crear entradas icmp ;) por ejemplo:
icmp permit any inside
icmp permit any dmz
el comando tiene mas opciones como decirle el tipo de paquete icmp en cuestion, vamos el tipo y el codigo. Por ejemplo, puedes hacer que se pueda hacer un ping, acepte un echo-reply pero no puedas hacerle ping, porque no acepte un echo ;) Eso independientemente de lo que le digas en las ACL aplicadas a las interfaces ;) En los pix creo recordar que ademas del comando icmp se ha de permitir en la ACL, o no funcionaba ;)
Saludos ;)
imakoki
Hola,
gracias por responder, esos comandos ya los tenia puestos y tambien:
icmp permit any Inside
icmp permit any echo Inside
icmp permit any echo-reply Inside
icmp permit any dmz_servidores
icmp permit any echo dmz_servidores
icmp permit any echo-reply dmz_servidores
pero nada sigue sin funcionar... la verdad no se ke probar mas...
Puedes poner las acl que están aplicadas en inside (outgoing / ingoing) y dmz? Si en las de outgoing (si es que las tienes puestas) tienes alguna ip publica pues sustituye por x.x.x.x que no cal saber que IP es, y mejor que no se vea :P ;) Aunque es raro ya me he encontrado alguna cosilla rara de estas ;)
Lo que son los icmp dirigidos hacia las interfaces del ASA en teoría se controlan con esos comandos icmp y no deberían afectar los filtros puestos (es como el acceso ssh al ASA, o el telnet, que no dependen tampoco de los filtros, y tienen sus propios comandos). Aunque eso es así por defecto, aunque depende como hayas modificados las ACL igual podría provocar eso. Quizás si has creado filtros "outgoing"...
PD: En los PIX si no recuerdo mal si que era común tener que permitir en el filtro y luego además con el comando icmp pero en los ASA no es necesario, si no es que el firmware haga un poco el ganso... No me extrañaría que una actualización solucionara el problema :P ;)
Saludos ;)
En los interfaces de inside y outside, las ACL solo las tengo aplicadas de entrada, de salida no tengo ningun filtro aplicado:
access-list acl_dmz_servidores extended permit ip 10.34.206.0 255.255.255.0 10.34.205.0 255.255.255.0
access-list acl_dmz_servidores extended permit ip 10.34.207.0 255.255.255.0 10.34.205.0 255.255.255.0
access-list acl_dmz_servidores extended permit icmp any any
access-list acl_inside extended permit ip any any
He probado en otros equipo que tienen distintas IOS y el resultado es el mismo...
