Как настроить проброс порта на Cisco ASA 5510?

Question

[Сергей]

Коллеги выручайте
Два интерфейса, смотрят один в локалку, другой в локалку "чужой" сети

interface Port-channel1.2
 description OFFICE_NET
 vlan 2
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0
!
interface Port-channel1.3
 description OTHER_NET
 vlan 3
 nameif othernet
 security-level 10
 ip address 10.10.30.4 255.255.255.0

Нужно прокинуть порты с внутреннего сервера 192.168.0.9 для клиентов в сети "othernet"
Делаю так:

object network SERVER 
 host 192.168.0.9 
 nat (inside,othernet) static 10.10.30.3 service udp 4569 4569 
access-list othernet_acl extended permit udp any object SERVER eq 4569
access-group othernet_acl in interface othernet

И вроде все пучком, но! Мне надо чтоб и пинги шли. А то шняга на "той" стороне категорически не хочет соединяться.
Дополнительно, а как еще порты прокинуть через тот же интерфейс?

Answer 1

[Heizenberg]

security-level должен быть одинаковым на обоих интерфейсах
добавьте что-то типа
static (inside,othernet) 192.168.10.9 192.168.10.9 netmask 255.255.255.254
static (othernet,inside) 10.10.30.3 10.10.30.3 netmask 255.255.255.254
гуглите на тему cisco asa inter vlan routing

Comments

[Сергей]

Да, похоже вы правы. Нашел статейку blog.braini.ac/?p=38
там пишут про то же самое.

Answer 2

[poisons]

Апну вопрос, ситуация следующая
asa 5505 9.2(4), хочу пробросить порт для торрент клиента.
Настройки

show running-config nat
nat (inside,outside-d) source static NET-LOCAL NET-LOCAL destination static NET-OVH NET-OVH
nat (inside,outside-d) source dynamic NET-FOR-NAT interface
object network media-server
 nat (inside,outside-d) static interface service tcp 43117 43117
asa-home(config)# show running-config access-list
access-list outside_access_in extended permit tcp any object media-server eq 43117
show running-config object
object network media-server
 host 192.168.88.204

первая строчка нужна что бы не натился трафик, который у меня ходит в туннеле до удаленной asa. При проверке извне доступности порта счетчик хитов по acl не увеличивается.
При проверке packet-tracer -увеличивается, но пакеты отбрасываются.
packet-tracer input outside-d tcp 8.8.8.8 1234 192.168.88.204 43117
Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (inside,outside-d) source dynamic NET-FOR-NAT interface
Правило NET-FOR-NAT мне нужно, что бы натились пакеты со стороны inside интерфейса.
Там у меня 2 сети, 192.168.87.0/24 - висит прямо на inside интерфейсе и 192.168.88.0/24 висит за еще одним роутером(там фаервол/нат выключен, железка перекладывает пакеты из интерфейса в интерфейс).
Порты 100% на целевой машине открыты.
Гугль выдает статейки, где упорно повторяют одно и тоже на тему "создавай объект, пиши acl".
Куда бы копнуть?