Есть Cisco ASA 5506, которая стоит в режиме файрволла с одной внутренней сетью 192.168.4.0/24. За роутером (маршрут имеется) есть ещё одна сеть, .5.0/24, в ней есть сервер, мне нужен к нему доступ по RDP. Публикую на циске, создав объект сервера, добавляю к нему автоматические NAT-правила, пишу публикуемый сервис (tcp-udp/3389). Дописываю желаемые сервера в внешний список доступа. Запускаю packet-tracer - он мне пишет ошибку проверки reverse-path:
Type - NAT Subtype - rpf-check Action - DROP
Config
object network DVCAP-DC nat (any,outside) static interface no-proxy-arp service tcp 3389 3389
Вопрос - с какого фига? Откуда взялся rpf-check, если у циски есть маршрут до сети, и он привязан к внутреннему интерфейсу?
# sh route
....
S 192.168.5.0 255.255.255.0 [1/0] via 192.168.4.4, inside
PS: проблема была в packet tracer, поэтому вернул тег на место.
