Ping ASA 5505

LordTAPi 8 octubre 2008 18:33

⋮

Estimados tod@s,
Soy incapaz de habilitar el ICMP para poder hacer ping desde mi máquina a cualquier IP pública a través de mi ASA 5505.

Esta es mi configuración, a ver si alguién puede echarme una mano.

: Saved
:
ASA Version 8.0(4)
!
hostname CASA
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.10.0.1 255.255.0.0
ospf cost 10
!
interface Vlan2
nameif outside
security-level 0
ip address 80.58.61.250 255.255.255.248
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
speed 100
duplex full
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name TEDCorp-si.local
same-security-traffic permit intra-interface
object-group service DM_INLINE_SERVICE_1
service-object tcp-udp eq www
service-object tcp eq https
object-group service DM_INLINE_TCP_1 tcp
port-object eq ftp
port-object eq www
access-list ICMPACL extended permit icmp any any
pager lines 24
logging enable
logging asdm errors
logging class auth asdm emergencies
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
asdm image disk0:/asdm613.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
access-group inside in interface inside
access-group outside in interface outside
route outside 0.0.0.0 0.0.0.0 80.58.61.249 255
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 172.10.0.1 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 194.X.X.X
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map 1 set security-association lifetime seconds 28800
crypto map outside_map 1 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto ca server
shutdown
crypto isakmp enable inside
crypto isakmp enable outside
crypto isakmp policy 2
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000
telnet 172.10.0.1 255.255.255.255 inside
telnet timeout 5
ssh 172.10.0.1 255.255.255.255 inside
ssh timeout 5
console timeout 0
management-access inside

threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tftp-server inside 172.10.0.1 D:\TFTP
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
tunnel-group 194.X.X.X type ipsec-l2l
tunnel-group 194.X.X.X ipsec-attributes
pre-shared-key *
!
!
!
policy-map global_policy
!
prompt hostname context
Cryptochecksum:1391ebc88b1a2e06d6d55478ee088b58
: end

GRACIAS a todo por adelantado.

imakoki 8 octubre 2008 23:07

⋮

Los comandos:

icmp permit any inside
icmp permit any outside

son para hacer ping desde/hacia el asa. Vamos cuando el ping empieza o termina en una interfaz del asa. Para el tráfico que lo atraviesa tienes que habilitarlo en las acceess-list, la entrante en la inside (o como llames a la interna, ya que se pude cambiar). Con eso te dería funcionar, trabajando x defecto, vamos con niveles de seguridad, con lo que el trafico originado dentro y que se permite que salga, retorna sin tener que habilitar nada especifico.

Lo que veo es que tienes una access-list en outside y otra en inside:

access-group inside in interface inside
access-group outside in interface outside

pero no existen. Raro porque si no se me va la pinza, si intentas eliminarlas y estan aplicadas con el access-group o se que o te elimina la entrada del access-group (aunque no recuerdo ahora si es por el ASDM y por terminal se deja sin quejarse). El caso es que al no existir la access-list lo toma como un "deny" implicito (que es como la ultima entrada "implicita" que no explicita, vamos que no esta pero si algo no se permite al final se deniega). Luego veo esta access-list sin aplicar en ningun sitio:

access-list ICMPACL extended permit icmp any any

con lo que no hace efecto alguno.

si no vas a poner ninguna acl para cambiar el comportamiento del trafico desde fuera, te diria que elimines esto. No es necesario, la ACL de outside, tal como lo tienes tu, con niveles de seguridad, es para permitir algo, ya que desde fuera, travajando de esa forma, se deniega el trafico entrante hacia la outside si no se permite de forma explicita (con entradas de permit en la ACL) asi que en tu caso no es necesario. Esto lo puedes eliminar:

access-group outside in interface outside

ejecuta: no access-group outside in interface outside

Esto tambien lo puedes eliminar:

access-list ICMPACL extended permit icmp any any

ejecuta: no access-list ICMPACL extended permit icmp any anyç

Y ahora vamos al icmp saliente. Has de crear la anterior entrada de ACL pero con el nombre que aplicas en la inside. Fijate en el nombre que hay, que te resalto en negrita:

access-group inside in interface inside

Yo la llamaria con otro nombre para que se vea mas claro en el comando pero bueno:

access-list inside extended permit icmp any any

De todas formas ojo con esto, como la entrada de la ACL solo deja hacer ping, no podras hacer nada mas a traves del asa. Si no es que quieres capar puertos para que la gente de la lan no pueda acceder yo de ti simplemente, almenos hasta que ajuestes el tema realmente crearia esta entrada de ACL en lugar de la anterior:

access-list inside extended permit ip any any

Luego si quieres añadir cosas pues trabajas sobre esa access-list. Si haces un show access-list inside veras que numeras las líneas. Te saldar algo asi con la entrada anterior (ademas de algun dato mas como la cantidad de entradas que tiene, si no recuerdo mal, que no me fijo mucho en eso xD):

access-list inside line 1 extended permit ip any any

Pues para insertar una linea detras no hace falta poner numero de línea, la pondra al final. Si quieres insertar delante, basta con que en la nueva entrada uses el mismo numero de línea, en este caso un 1, y la 1 pasara a ser la 2 y la nueva 1 sera la que hayas metido ;)

Si tienes alguna dudilla mas pregunta ;)

Saludos ;)

✖

BocaDePez 9 octubre 2008 13:17

⋮

Muchisimas gracias imakoki por contestar tan rápido y por aclararme algunos conceptos, no tenía ni idea que el ICMP era sólo a nivel interno del ASA...

Veo que ayer, al tratar de quitar datos que consideraba no importantes de mi conf (NAT interno, VPN contra cliente, etc...) quité algunos bastantes importante dejando claro que no piloto mucho, :( , como por ejemplo, que tengo las access list a las que haces referencia:

access-list inside line 1 extended permit ip host 172.10.0.1 any (hitcnt=292) 0x0e355314 (Mi equipo 172.10.0.1)
access-list inside line 2 extended permit ip any any (hitcnt=106) 0x062c4905

Aún así, con la la segunda regla, sigue sin funcionar el ping desde mi máquina a cualquier servidor de internet (por ej. ping 66.102.9.147 (google))

La regla "access-group outside in interface outside" la tengo que dejar porque si la quito dejan de estar disponibles desde fuera de la empresa algunos recursos web internos.

Te adjunto toda mi conf para ver si puedes localizar donde esta el problema.

MUCHISIMAS GRACIAS!!! :)

hostname CASA
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.10.0.214 255.255.0.0
ospf cost 10
!
interface Vlan2
nameif outside
security-level 0
ip address 80.58.61.250 255.255.255.248
ospf cost 10
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
speed 100
duplex full
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns server-group DefaultDNS
domain-name TEDCorp-si.local
same-security-traffic permit intra-interface
object-group service DM_INLINE_SERVICE_1
service-object tcp-udp eq www
service-object tcp eq https
object-group service DM_INLINE_TCP_1 tcp
port-object eq ftp
port-object eq www
object-group service Cliente tcp
port-object eq 9080
object-group service DM_INLINE_TCP_2 tcp
port-object eq www
port-object eq https
port-object eq 8000
object-group service Proyecto7 tcp
port-object eq 8085
object-group service 1573 tcp
port-object eq 1573
object-group service ServidorWeb02 tcp
group-object 1573
object-group service Proyecto1 tcp
port-object eq 7777
object-group service Proyecto2
service-object tcp eq 16102
service-object tcp eq 16111
service-object udp eq 6000
object-group service Proyecto3cp
port-object eq 8082
object-group service Proyecto
port-object eq 8000
object-group service Proyecto tcp
description Proyecto
port-object eq 81
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside extended permit ip host 172.10.0.1 any (172.10.0.1 mi equipo)
access-list inside extended permit ip any any
access-list outside remark Proyecto entrando por la 8082 para terminar en la 80
access-list outside extended permit tcp any host 80.58.61.250 object-group Proyecto
access-list outside remark Proyecto2
access-list outside extended permit tcp any host 80.58.61.250 object-group Proyecto2
access-list outside remark proyecto
access-list outside extended permit tcp any host 80.58.61.251 object-group proyecto
access-list outside remark Proyecto5
access-list outside extended permit tcp any host 80.58.61.251 object-group DM_INLINE_TCP_1
access-list outside remark Proyecto4
access-list outside extended permit object-group DM_INLINE_SERVICE_1 any host 80.58.61.254
access-list outside remark proyecto3 proyecto3
access-list outside extended permit object-group avast any host 80.58.61.250
access-list outside remark Proyecto6.- Port 81
access-list outside extended permit tcp any host 80.58.61.250 object-group Proyecto6
access-list outside remark Proyecto7.- 8085
access-list outside extended permit tcp any host 80.58.61.250 object-group Proyecto7
access-list outside remark Proyecto8
access-list outside extended permit tcp any host 80.58.61.252 object-group DM_INLINE_TCP_2
access-list outside remark proyecto.TEDCorp.es
access-list outside extended permit tcp any host 80.58.61.253 eq www
access-list outside remark Proyecto10
access-list outside extended permit tcp any host 80.58.61.253 object-group Cliente
access-list outside remark Proyecto
access-list outside remark Proyecto2
access-list outside remark proyecto
access-list outside remark Proyecto5
access-list outside remark Proyecto4
access-list outside remark proyecto3 proyecto3
access-list outside remark Proyecto6.- Port 81
access-list outside remark Proyecto7.- 8085
access-list outside remark Proyecto8
access-list outside remark proyecto.TEDCorp.es
access-list outside remark Proyecto10
access-list outside_1_cryptomap extended permit ip host 172.10.0.30 host 194.X.X.X
access-list VPN_TEDCorp_splitTunnelAcl standard permit host 172.10.1.1
access-list VPN_TEDCorp_splitTunnelAcl standard permit host 172.10.1.2
access-list VPN_TEDCorp_splitTunnelAcl standard permit host 172.10.1.21
access-list VPN_TEDCorp_splitTunnelAcl standard permit host 172.10.1.22
access-list VPN_TEDCorp_splitTunnelAcl standard permit host 172.10.1.23
access-list VPN_TEDCorp_splitTunnelAcl standard permit host 172.10.1.45
access-list VPN_TEDCorp_splitTunnelAcl_1 standard permit host 172.10.1.0
access-list inside_nat0_outbound extended permit ip host 172.10.0.30 host 194.X.X.X
access-list VPNTEDCorp_splitTunnelAcl standard permit host 172.10.1.1
access-list VPN_TEDCorp_splitTunnelAcl_2 standard permit any
access-list DefaultRAGroup_splitTunnelAcl standard permit any
access-list DefaultRAGroup_splitTunnelAcl_1 standard permit any
access-list ping extended permit icmp any any
access-list ping extended permit ip any any
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
asdm image disk0:/asdm613.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 172.10.0.0 255.255.0.0
nat (outside) 1 80.58.61.250 255.255.255.255
static (inside,outside) tcp 80.58.61.251 ftp 172.10.0.15 ftp netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.251 1573 172.10.1.22 1573 netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.252 8000 172.10.1.21 8000 netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.252 https 172.10.1.21 https netmask 255.255.255.255
static (inside,outside) tcp interface 16111 172.10.1.1 16111 netmask 255.255.255.255
static (inside,outside) tcp interface 6000 172.10.1.1 6000 netmask 255.255.255.255
static (inside,outside) tcp interface 16102 172.10.1.1 16102 netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.253 www 172.10.1.41 www netmask 255.255.255.255
static (inside,outside) tcp interface 81 172.10.1.23 81 netmask 255.255.255.255
static (inside,outside) tcp interface 1573 172.10.1.23 1573 netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.253 9080 172.10.1.45 9080 netmask 255.255.255.255
static (inside,outside) tcp interface www 172.10.2.15 8082 netmask 255.255.255.255
static (inside,outside) tcp interface 7777 172.10.1.23 7777 netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.252 www 172.10.1.21 www netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.251 www 172.10.0.15 www netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.254 www 172.10.1.2 www netmask 255.255.255.255
static (inside,outside) tcp 80.58.61.254 https 172.10.1.2 https netmask 255.255.255.255
access-group inside in interface inside
access-group outside in interface outside
route outside 0.0.0.0 0.0.0.0 213.27.216.169 255
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 172.10.0.1 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set ESP-DES-SHA ESP-DES-MD5
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime seconds 28800
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs
crypto map outside_map 1 set peer 194.X.X.X
crypto map outside_map 1 set transform-set ESP-3DES-SHA
crypto map outside_map 1 set security-association lifetime seconds 28800
crypto map outside_map 1 set security-association lifetime kilobytes 4608000
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map inside_map interface inside
crypto ca server
shutdown
cdp-url CASATEDCorp.TEDCorp.es/+CSCOCA+/asa_ca.crl
issuer-name CN=CASATEDCorp.TEDCorp.es
smtp from-address admin@CASATEDCorp.TEDCorp.es
crypto isakmp enable inside
crypto isakmp enable outside
crypto isakmp policy 2
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
crypto isakmp ipsec-over-tcp port 10000
telnet 172.10.0.1 255.255.255.255 inside
telnet timeout 5
ssh 172.10.0.1 255.255.255.255 inside
ssh timeout 5
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tftp-server inside 172.10.0.1 D:\TFTP
group-policy DfltGrpPolicy attributes
vpn-tunnel-protocol IPSec l2tp-ipsec
tunnel-group 194.X.X.X type ipsec-l2l
tunnel-group 194.X.X.X ipsec-attributes
pre-shared-key *
!
!
!
policy-map global_policy
!
prompt hostname context
Cryptochecksum:cfb67e75199af0fa94c40b896ba48b52
: end

✖

imakoki 9 octubre 2008 23:41

⋮

Buenas,

Pues encantado si puedo echarte una mano. Una duda, ¿solo tienes problemas con el ping o hay mas cosas que fallan? ¿solo desde tu ip?, bueno imagino que no.

Sobre el nat, la verdad es que con eso del ASDM cada vez se aclara un menos con el CLI. Aunque aún hay muchos cambios que los haga por CLI ya que son mas faciles e incluso se puden hacer determinados cambios que por el ASDM implican desacer algo por completo y volverlo a hacer pero claro, poco a poco, sin darse uno cuenta va perdiendo agilidad. Bueno, al tema, ¿para que tienes la entrada del nat (outside) 1 80.58.61.250 255.255.255.255? se supone que es ip es la outside del ASA. Menos esa, en lo que respecta al nat, lo veo claro pero a esa no le acabo de ver el sentido. Con el resto ya haces que las maquinas de dentro, para navegar, salgan con es ip, con lo que esa entrada desde mi punto de vista sobre. No se si tendra que ver con el problema.

Respecto al ping en concreto, si te fijas te esta marcando "match", el valor hitcnt, en la entrada del ping:

access-list inside line 1 extended permit ip host 172.10.0.1 any (hitcnt=292) 0x0e355314

Eso implica que la acl de la Inside esta recibiendo esos paquetes, y como es un permit, los esta dejando pasar.

Otra duda. que pinta esta ruta por defecto:

route outside 0.0.0.0 0.0.0.0 213.27.216.169 255

tu red, entiendo que es una 80...... y tu gateway es una 213.....?¿

Ya me diras. Porque sin saber si te fallan mas cosas pues ...

PD: Otra cosas, edita tu mensaje anterior y sustituye todas las publicas, aunque si quieres deja el 4 byte (o algo en plan 8x.x.x.251, que ya se ve claro que es una publica pero tampoco dice demasido) , a si se entiende mejor la configuración pero sin dar información a nadie sobre las ips publicas en si ;)

Saludos ;)

✖

BocaDePez 10 octubre 2008 00:10

⋮

Muchas gracias imakoki, mis IP públicas las he cambiado por las IPs públicas del DNS de Telefónica (80.58.61.250) así me entero mejor, ;) la Ip 213.X.X.X no se de donde ha salido, supongo que intentaría poner otra IP pública conocida y me he liado, pero vaya, que esa parte la tengo controlada.

El "nat (outside) 1 80.58.61.250 255.255.255.255" creo que es para que salgan todos los equipos con la IP pública pero mañana la voy a quitar por si solucionase el problema, a ver si con eso consigo que chute el puñetero ping, el resto de las cosas funcionan bien, la gente de la oficina sale sin problemas a internet y desde fuera también acceden a los recursos compartidos de dentro, el caso es que estoy estableciendo una VPN con un cliente y para hacer las pruebas me ayudaría mucho poder hacer ping a su ip pública y que pelotas, que esto del ping es ya algo personal, jeje...

Los hitcnt=292 significan que el ASA está recibiendo y permitiendo los pings desde mi equipo (172.10.0.1), verdad? Entiendo que los saca fuera por la interface outside, verdad? Se pueden quedar retenidos al intentar entrar? Me explico, ¿Tendría que hacer una access-list con cada host del que quiero obtener respuesta?

Vaya movida!! Insisto, MUCHAS GRACIAS por tu tiempo y paciencia.

✖

imakoki 10 octubre 2008 00:25

⋮

✖

BocaDePez 13 octubre 2008 11:25

⋮

✖

BocaDePez 13 octubre 2008 17:23

⋮

✖

BocaDePez 13 octubre 2008 18:03

⋮

✖

imakoki 14 octubre 2008 22:44

⋮

✖

LordTAPi 20 octubre 2008 13:46

⋮

✖

imakoki 20 octubre 2008 20:50

⋮

✖

LordTAPi 22 octubre 2008 09:46

⋮

✖

BocaDePez 22 octubre 2008 18:01

⋮

✖

LordTAPi 22 octubre 2008 18:50

⋮

✖

imakoki 28 octubre 2008 20:57

⋮

✖

LordTAPi 25 noviembre 2008 15:22

⋮

✖

BocaDePez 25 noviembre 2008 15:28

⋮