@Ult

Доброго дня коллеги.

Смысл обращения такой:

ASA 5520:

интерфейс "домру" для доступа к интернету - работает, пинг на 8.8.8.8 с этого интерфейса проходит.

Второй интерфейс "wifi" на нем настроен DHCP, он подключен проводом в wifi router.

Вайфай роутер пускает клиентов (телефоны и ноутбуки) в сеть из DHCP пула - тоже все нормально.


А вот чтобы телефон подключился к интернету - не работает.

************************************************************

В static routes прописано:

ИНтерфейс "домру"
network "any"
Gateway ip "шлюз дома ру"

************************************************************

Фаервол (тут то и основные проблемы)

На оба мои интерфейса висит правило пол умолчанию "implicit rule" которое дропает любые пакеты с интерфейса wifi на интерфейс domru

Добавил входящие и исходящие правила на каждый интерфейс (на вайфай и на домру), каждое из которых разрешает from any to any.

Но packet tracer говорит что злосчастный "implicit rule" все равно дропает.


Как отключить эти правила по умолчанию ? или как правильно нужно настроить, чтобы телефоны из пула DHCP ходили в интернет чере ASA5520 ?

0

@Ult

Схема достаточно простая

Миниатюры

 

0

@corlovito

на wifi роутере тоже нат используется ?

0

@Ult

Нет

Там настройки максимально стандартные. Интернет "получать по дхцп". Локальный адрес статика. Вайфай - точка доступа такаято, защита такаято.

0

@corlovito

стандартный на таком оборудовании подразумевают нат

0

@Ult

Прошу прощения, я не дописал пару букв в названии. Вайфай роутер достаточно не замудренный: Linksys EA3500, там нету стандартного нат.

Добавлено через 28 минут
Мож скинуть конфиг циски, который я считаю правильным и не требующим доработки ?

На данном этапе я грешу на возможность наличия дополнительного dhcp сервера в нашей сетке, хотя делал проверку пару дней назад - она не выявила.

Второй вариант, проблема в настройке вайфай роутера, но опять таки, там там три с половиной настройки - ошибиться негде, да и настроил я таких не одну сотню....

0

@corlovito

я наверное огорчу вас, но он там есть

0

@Ult

Вы имеете ввиду что он там настроен по умолчанию ?

0

@corlovito

думаю да

0

@Ult

Через 1 час 20 минут пойду продолжать свои разборы этой темы и буду очень рад, если проблема окажется в этом.

Добавлено через 4 минуты
С другой стороны.... Я подключал эти точки, к другой, не цисковской точке с дхцп и они без проблем раздавали вайфай и работали. без каких либо доп настроек.

0

@corlovito

никто не говорил что проблема именно в этом, я просто вопрос задал чтобы понимать схему

0

@Ult

Короче проблема в самой циске.

Воткнул кабель из бука напрямуюв интерфейс для вайфая на котором настроен дхцп и он стал выделываться.... перевыдавать адресса постоянно.

АРП таблица заполняется, а в дхцп статистике пусто, иногда в дхцп статистике, если вовремя рефрешнуть, можно уловить что выдан такойто айпи, но он сразу же пропадает

Добавлено через 39 минут
Короче всё удалил, перепрошил циску, добавил заного все настройки.

Подключил бук к порту для вайфай. Он получил адресс под дхцп, получил днсы, но в интернет не ходит.

Делаю пакет трасер. Вот результаты:

Картинка 1, интерфейс wi-fi, tcp пакет по http порту для гугловского dns. Доходит до dom-ru.

Картинка 2. Все тоже самое, только меня интерфейс на дом ру и пакет рубится по acces list дефолтным правилом.

Подскажите, что делаю не так ? что изменить ?

Миниатюры

   

0

@corlovito

если нажать show rule что покажет ?
хотя стоп интерфейс dom.ru это ведь инет ? если да то все правильно он обрубает в данном случае к нему на WAN интерфейс вы посылаете пакет с ип адресом из частного диапазона

1

@Ult

Я же на 8.8.8.8 посылаю ? что-то не врубаюсь. разве он не проверяет конкретный адрес на доступ к сети.

Получается и нат не так настроен ?

Миниатюры

 

0

@corlovito

вы получается еще и management interface используете под локалку ? уберите вот это management-only с интерфейса а вообще management только под управление

0

@Ult

Для интернета достаточно этих правил ? почему не пускает то ? днсы ноутбук получил

0