Как можно сделать "нац валютой" нечто, эмиссию чего ты не контролируешь?

Как можно было сделать доллар нац валютой?

Как можно любые бумажки сделать нац валютой

?

Как можно любые бумажки сделать нац валютой

Начав их контроллировать

Начав их контроллировать

Смишно

Привет! У кого есть опыт работы с ASA? Есть один вопрос, который все никак не могу разрешить. Уже и документацию читал и гуглил

И какой вопрос?

Привет! У кого есть опыт работы с ASA? Есть один вопрос, который все никак не могу разрешить. Уже и документацию читал и гуглил

Есть, задавай

И какой вопрос?

Как сделать порт-форвардинг на хост в удаленной сети (not-direct connected)

может чтобы понятней немного описать схему?

dnat?

или открыть порт?

пробросить порт

на внешнем интерфейсе создать permit правило видимо

сразу оговорюсь, что сделал уже правило Auto_NAT, ACL создал на внешний интерфейс, все по аналогии с работающими пробросами на direct connected сетями. У самой АСЫ скажем напрямую подключена сеть 192.168.0.1/24 А надо пробросить с внешки на хост 172.16.1.15 к примеру

nat (OUT,DMZ) source static any any destination static SITE WEB service http http типо того чтоли?

так это гуглится просто

и не работает.... вот что пакет трейсер дает:

```Phase: 1 Type: ROUTE-LOOKUP Subtype: Resolve Egress Interface Result: ALLOW Config: Additional Information: found next-hop 192.168.0.254 using egress ifc inside Phase: 2 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group 100 in interface outside access-list 100 extended permit tcp any4 host 172.16.1.15 eq 80 Additional Information: Phase: 3 Type: NAT Subtype: per-session Result: ALLOW Config: Additional Information: Phase: 4 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 5 Type: NAT Subtype: rpf-check Result: DROP Config: object network Cam_portal nat (inside,outside) static 1.1.1.1 service tcp 80 80 Additional Information: Result: input-interface: outside input-status: up input-line-status: up output-interface: inside output-status: up output-line-status: up Action: drop Drop-reason: (acl-drop) Flow is denied by configured rule

вот почему то именно в удаленную сеть не пробрасывается

пакет трейсер фтопку

и нет проблем

Проверьте маршрутизацию

Возможно разные маршруты туда и обратно

пакет трейсер фтопку

Вы про packer tracer в ASA?

Вы про packer tracer в ASA?

именно

а, тада не надо услышал звон называется )

я маньяк чтоли использовать пакет трейсер программу, когда эмуляторы есть

Phase 5 rod check drop. Проверяй маршрутизацию. И скинь конфиг сюда.

Ну кароче схема нужна с роутингом желательно, да и конфиг

А то "У меня ASA . portforwarding не работает"

А то "У меня ASA . portforwarding не работает"

я понимаю ))

схема по любому нужна

ок, скину, мне время нужно подготовить все это

именно

Настраиваете через asdm ?

Настраиваете через asdm ?

исключительно cli

У асы есть такая штука, что дропаются пакеты вышедшие и вошедшие в один и тот де физ интерфейс

Проверьте это

same-security-traffic permit inter-interface вроде, да?

У асы есть такая штука, что дропаются пакеты вышедшие и вошедшие в один и тот де физ интерфейс

у меня точно outside и inside в разные физ порты ведет, проверил. ладно, в общем, схему подготовлю и конфиг

Тут, судя по описанию, трафик должен проходить сквозь асу

На сколько я понял из пакет трейсера. Нужно сделать трансляцию. Внешнего IP 1.1.1.1 (в данном примере) в хост 172.16.1.15, который находится за интерфейсом inside, и next-hop для его достижения - 192.168.0.254

На сколько я понял из пакет трейсера. Нужно сделать трансляцию. Внешнего IP 1.1.1.1 (в данном примере) в хост 172.16.1.15, который находится за интерфейсом inside, и next-hop для его достижения - 192.168.0.254

именно

тут кажись тогда двойной нат нужен

серьезно?

Эм, зачем?

насколько я знаю по ISR маршрутизаторам, там двойной нат использует для других целей

тут кажись тогда двойной нат нужен

Не путайте людей)

может и путаю. Щас попробуй найти и показать что имел ввиду

в любом случае уже тоже интересен ответ)

NAT, Subtype: rpf-check DROP при пакет трейсере может возникуть что в пакет-трейсере вы использовали outside интерфейс в качестве src интерфейса, но IP который в команде был указан, не находится по таблице маршрутизации за outside

В общем, схема нужна :) Inside-ASA-outside

что за inside согласно роутингу, и что за outside

тут кажись тогда двойной нат нужен

Ухх, какие технические решения .. а ещё говорят что микротик говно :)

Ухх, какие технические решения .. а ещё говорят что микротик говно :)

И какая связь? Коммент ради коммента?

Ухх, какие технические решения .. а ещё говорят что микротик говно :)

Вот я и смотрю на это всё… скептически…

А рпф не мешает ли тут? Можно ли его на асе отключить?

И какая связь? Коммент ради коммента?

Всё все, удаляюсь...

Готово. Вот схема, конфиг и маршруты: https://docs.google.com/document/d/13qeMZmQLwZ6HBWuhiu25GFEmpwuuA7s13L-5V0VUwCc/edit?usp=sharing

NAT, Subtype: rpf-check DROP при пакет трейсере может возникуть что в пакет-трейсере вы использовали outside интерфейс в качестве src интерфейса, но IP который в команде был указан, не находится по таблице маршрутизации за outside

команда была такая: packet-tracer input outside tcp 1.1.1.1 80 172.16.1.15 80

о блин

Готово. Вот схема, конфиг и маршруты: https://docs.google.com/document/d/13qeMZmQLwZ6HBWuhiu25GFEmpwuuA7s13L-5V0VUwCc/edit?usp=sharing

Я не уверен, но у асы же нет маршрута до via 192.168.2.254

или это очепятка?

опечатка )

извиняюсь

там должно быть 192.168.0.254

ERROR: S client not available

Я не уверен, но у асы же нет маршрута до via 192.168.2.254

В пакет трейсере первым ip должен идти src пакет

То есть что то за outside

чтобы правильно меня поняли, я менял адреса сейчас в конфиге, связь на самом деле есть с L3 свичем и до конечного сервака: ciscoasa# ping 172.16.1.15 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.15, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Трейсер это как бэ стимуляция трафика

В пакет трейсере первым ip должен идти src пакет

ciscoasa# packet-tracer ? input Ingress interface on which to trace packet ciscoasa# packet-tracer in ciscoasa# packet-tracer input ? Current available interface(s): inside Name of interface GigabitEthernet0/0.2 outside Name of interface GigabitEthernet0/1.202 ciscoasa# packet-tracer input out ciscoasa# packet-tracer input outside ? icmp Enter this keyword if the trace packet is ICMP rawip Enter this keyword if the trace packet is RAW IP tcp Enter this keyword if the trace packet is TCP udp Enter this keyword if the trace packet is UDP ciscoasa# packet-tracer input outside

В пакет трейсере первым ip должен идти src пакет

ничего не добавить

После outside идет протокол (tcp) потом - ip адрес соурс хоста, порт (любоц), ip дестинейшна (1.1.1.1) в данном случае и его порт (80)

Мне не очень удобно с телефона за обедом писать- могу минут через 30 подробнее

Мне не очень удобно с телефона за обедом писать- могу минут через 30 подробнее

ок

После outside идет протокол (tcp) потом - ip адрес соурс хоста, порт (любоц), ip дестинейшна (1.1.1.1) в данном случае и его порт (80)

аа, понял. т.е. как бы выглядел оригинальный пакет из инета?

аа, понял. т.е. как бы выглядел оригинальный пакет из инета?

Yep

Yep

сейчас проверю

Yep

да, все верно, теперь проверку проходит

сейчас пересоберу нат, чтобы проверить )

все заработало! Спасибо!

дело было не в асе вовсе

:)))

мне дали внешний ip-адрес, который как оказалось. был занят уже тестовым стендом

короче ппц

случайно сейчас обнаружил, просканировав порты

а ввело в заблуждение некорректное использование пакет-трейсера

еще раз Спасибо огромное!

А кинь пример правила Нат

как в итоге сделано?

А кинь пример правила Нат

посмотри тут: https://docs.google.com/document/d/13qeMZmQLwZ6HBWuhiu25GFEmpwuuA7s13L-5V0VUwCc/edit

А кинь пример правила Нат

или вот: https://www.cisco.com/c/ru_ru/support/docs/security/asa-5500-x-series-next-generation-firewalls/115904-asa-config-dmz-00.html#anc10

Уррра! В Питер снег завезли!

ВНЕЗАПНО выпал снег, дорожные службы были неготовы?

ВНЕЗАПНО выпал снег, дорожные службы были неготовы?

а что зима началась? не неслышали...ещё 1 день же

Да ваще, как так то

Всем привет, кто знает как совместно работать со смартнетами с нескольких учеток. Там профили организаций я так понимаю только партнеров циски, а если организация не партнер

Ребзи, кто с хуевеем работал? Интересует настройка wi-fi контроллера и точек доступа, а так же фаерволла. Работал с циской. Интересует, трудно ли будет понять и настроить в таком случае хуавей без подготовки?