Cisco ASA 5520 + DHCP WiFi

@Ult · Регистрация: 23.03.2016

Студворк — интернет-сервис помощи студентам

Доброго дня коллеги.

Смысл обращения такой:

ASA 5520:

интерфейс "домру" для доступа к интернету - работает, пинг на 8.8.8.8 с этого интерфейса проходит.

Второй интерфейс "wifi" на нем настроен DHCP, он подключен проводом в wifi router.

Вайфай роутер пускает клиентов (телефоны и ноутбуки) в сеть из DHCP пула - тоже все нормально.

А вот чтобы телефон подключился к интернету - не работает.

**************************************** ********************

В static routes прописано:

ИНтерфейс "домру"
network "any"
Gateway ip "шлюз дома ру"

**************************************** ********************

Фаервол (тут то и основные проблемы)

На оба мои интерфейса висит правило пол умолчанию "implicit rule" которое дропает любые пакеты с интерфейса wifi на интерфейс domru

Добавил входящие и исходящие правила на каждый интерфейс (на вайфай и на домру), каждое из которых разрешает from any to any.

Но packet tracer говорит что злосчастный "implicit rule" все равно дропает.

Как отключить эти правила по умолчанию ? или как правильно нужно настроить, чтобы телефоны из пула DHCP ходили в интернет чере ASA5520 ?

@corlovito · 14.11.2016, 17:02

Сообщение от Ult

Добавил входящие и исходящие правила на каждый интерфейс (на вайфай и на домру), каждое из которых разрешает from any to any.

покажите конфиг

@Ult · 15.11.2016, 06:57 **[ТС]**

Конфиг.

Кликните здесь для просмотра всего текста

Result of the command: "show running-config"

: Saved
:
ASA Version 8.2(5)22
!
hostname ciscoasa
domain-name evm.ru
enable password @@@@@ encrypted
passwd @@@@@ encrypted
multicast-routing
names
name 195.211.29.X Domru
name 195.211.29.Y DomruErth
!
interface GigabitEthernet0/0
shutdown
no nameif
security-level 0
no ip address
!
interface GigabitEthernet0/1
description Inbound
nameif wifi
security-level 100
ip address 192.168.2.2 255.255.255.0
!
interface GigabitEthernet0/2
nameif Domru
security-level 0
ip address DomruErth 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 0
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
clock timezone YEKST 5
clock summer-time YEKDT recurring last Sun Mar 2:00 last Sun Oct 3:00
dns domain-lookup Domru
dns server-group DefaultDNS
name-server 109.195.x.x
name-server 109.195.x.x
domain-name evm.ru
access-list domru_access_in extended permit ip any interface Domru inactive
access-list domru_access_in extended permit tcp any any log disable inactive
access-list Domru_access_out extended permit ip any any
access-list Domru_access_in extended permit ip any any
access-list New standard permit 192.168.2.0 255.255.255.0
access-list New standard permit 195.211.x.0 255.255.255.0
access-list wifi_access_in extended permit ip any any inactive
access-list wifi_access_in extended permit tcp any any inactive
pager lines 24
logging enable
logging asdm informational
mtu Domru 1500
mtu wifi 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (Domru) 1 interface
global (wifi) 2 interface
global (management) 101 interface
access-group Domru_access_in in interface Domru per-user-override
access-group Domru_access_out out interface Domru
access-group wifi_access_in in interface wifi control-plane
route Domru 0.0.0.0 0.0.0.0 Domru 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
sysopt noproxyarp Domru
sysopt noproxyarp wifi
sysopt noproxyarp management
service resetinbound interface Domru
service resetinbound interface wifi
service resetinbound interface management
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto ca trustpoint _SmartCallHome_ServerCA
crl configure
crypto isakmp enable Domru
crypto isakmp enable wifi
crypto isakmp policy 10
authentication crack
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 20
authentication rsa-sig
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 40
authentication crack
encryption aes-192
hash sha
group 2
lifetime 86400
crypto isakmp policy 50
authentication rsa-sig
encryption aes-192
hash sha
group 2
lifetime 86400
crypto isakmp policy 60
authentication pre-share
encryption aes-192
hash sha
group 2
lifetime 86400
crypto isakmp policy 70
authentication crack
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 80
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 90
authentication pre-share
encryption aes
hash sha
group 2
lifetime 86400
crypto isakmp policy 100
authentication crack
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 110
authentication rsa-sig
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
crypto isakmp policy 130
authentication crack
encryption des
hash sha
group 2
lifetime 86400
crypto isakmp policy 140
authentication rsa-sig
encryption des
hash sha
group 2
lifetime 86400
crypto isakmp policy 150
authentication pre-share
encryption des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
management-access management
dhcpd dns 192.168.2.1 interface wifi
!
no threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
anyconnect-essentials
username u password p encrypted privilege 15
!
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
!
prompt hostname context
call-home reporting anonymous
Cryptochecksum:3
: end

@Ult · 15.11.2016, 11:29 **[ТС]**

Вот скрин access rules

Packet tracer ругается что пакет не может пройти через "domru" из-за этого Implicit rule

Даже когда добавляю кучу явных правил открывая from any to any - то же самое.

@corlovito · 15.11.2016, 12:00

Сообщение от Ult

access-list wifi_access_in extended permit ip any any inactive
access-list wifi_access_in extended permit tcp any any inactive

1. они не активные
2. на интерфейсе с security 100 по умолчанию разрешен трафик, уберите это

Сообщение от Ult

access-group wifi_access_in in interface wifi control-plane

@Ult · 15.11.2016, 12:09 **[ТС]**

Я щас много чего поменял, сделал согласно статье на хабре, но всё равно интернет не ходит с вайфая.

Кликните здесь для просмотра всего текста

Result of the command: "show running-config"

: Saved
:
ASA Version 8.2(5)22
!
hostname ciscoasa
domain-name evm.ru
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0/0
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/1
description outside
nameif domru
security-level 0
ip address 195.211.X.Х 255.255.255.0
!
interface GigabitEthernet0/2
nameif wi-fi
security-level 100
ip address 192.168.2.254 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
ftp mode passive
dns domain-lookup domru
dns server-group DefaultDNS
name-server 109.195.X.X
name-server 109.195.Y.X
domain-name evm.ru
same-security-traffic permit inter-interface
pager lines 24
logging asdm informational
mtu management 1500
mtu domru 1500
mtu wi-fi 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (domru) 101 192.168.2.100-192.168.2.254 netmask 255.255.255.0
nat (management) 101 0.0.0.0 0.0.0.0
nat (wi-fi) 101 192.168.2.0 255.255.255.0
route domru 0.0.0.0 0.0.0.0 195.211.29.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 109.195.X.X 109.195.X.X
dhcpd domain evm.ru
!
dhcpd auto_config domru interface management
!
dhcpd address 192.168.2.100-192.168.2.253 wi-fi
dhcpd domain evm.ru interface wi-fi
dhcpd enable wi-fi
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
anyconnect-essentials
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:5619f5db579b409b6d3f2d4f8 f62370b
: end

@corlovito · 15.11.2016, 12:13

Сообщение от Ult

но всё равно интернет не ходит с вайфая.

как проверяете пингом ?

@Ult · 15.11.2016, 12:20 **[ТС]**

Сообщение от corlovito

как проверяете пингом ?

И пингом и устройство подключаю к вайфай.

Текущая конфигурация верна ?

@corlovito · 15.11.2016, 12:59

Сообщение от Ult

И пингом

чтобы пинг прошел сквозь асу надо инспектирование ICMP включить у вас он не включен

Сообщение от Ult

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options

@Ult · 15.11.2016, 16:17 **[ТС]**

В остальном то все верно ?

Добавлено через 2 часа 56 минут
Включил инспектирование

Все равно пинги не проходят, так же как и интернет.

Вайфай роутер подключен из порта "лан 1" в порт циску в интерфейс wi-fi на который я повесил dhcp. Все работает, адреса раздает.

Но интернета нету.

Чё делать ?

@Ult · 15.11.2016, 16:28 **[ТС]**

Ребят, не понимаю, хоть убейте....

Мой телефон, подключился к вайфаю, получил адресс из пула DHCP.

Делаю Packet Tracer с ip телефона до 8.8.8.8 - все отлично проходит, но на телефоне интернета нет.

@corlovito · 15.11.2016, 19:09

Сообщение от Ult

но на телефоне интернета нет

днс сервер он получил по настройкам от dhcp ?

покажите команды

Code
1
2
3
sh nat det
sh conn
sh xlate

@Ult · 16.11.2016, 13:17 **[ТС]**

Result of the command: "sh conn"

9 in use, 851 most used

Result of the command: "sh xlate"

7 in use, 16 most used
Global 192.168.2.135 Local 192.168.2.135
Global 192.168.2.128 Local 192.168.2.128
Global 192.168.2.127 Local 192.168.2.127
Global 192.168.2.137 Local 192.168.2.137
Global 192.168.2.145 Local 192.168.2.145
Global 192.168.2.124 Local 192.168.2.124
Global 192.168.2.125 Local 192.168.2.125

sh nat det
^
ERROR: % Invalid input detected at '^' marker.

Добавлено через 1 час 14 минут
Блин, фигня какая-то началась. Где-то галочку убрал и понеслось, DHCP стал выдавать на один мак постоянно разные ип.

В смысле ежесекундно выдает и выдает все новые и новые ИП, а на клиенте написано например 192,168,2,144(повторяющийся)

Вроде галочку вернул обратно - не изменилось. перенастроил с нуля - тоже самое.

Добавлено через 4 часа 56 минут
В чем может быть причина не получения постоянного адреса клиентами ?

Если во время "получени ИП" на ноутбуке быстро прописать ipconfig /all, то можно увижеть, что он получил нужный ип, нужный шлюз и днс, но на против ип прописано (повторяющийся) и буквально через секунду, он выдает ему другой не понятный ИП уже без днс, потом снова из нужной сети, так же повторяющийся и так до бесконечности.

В чем может быть проблемма ?

@corlovito · 16.11.2016, 14:16

https://litl-admin.ru/windows-... ya-ip.html
может это поможет

@Ult · 16.11.2016, 16:52 **[ТС]**

Так у меня кабеля вообще нет.... Там решение, выдерни кабель, пропиши айпи и вставь кабель.

У меня вайфай и на телефоне же не выдернешь кабель.

@corlovito · 16.11.2016, 16:55

Сообщение от Ult

на телефоне же не выдернешь кабель.

а вот это тоже на телефоне проделывали

Сообщение от Ult

Если во время "получени ИП" на ноутбуке быстро прописать ipconfig /all,

Сообщение от Ult

У меня вайфай и не выдернешь кабель.

можно погасить интерфейс

@Ult · 16.11.2016, 17:18 **[ТС]**

Щас сделал как в статье - результата нет.

Смысл такой.

У меня есть точка вайфай она подключена к интернету на прямую.

Надо пустить её через циску.

Когда подключаю без циски, просто через вайфай роутер (на нем настроено дхцп) не важно через вайфай или через провод - всё работает, адресса дает корректно, интернет пашет.

Отключаю в роутере дхцп, подключаю его в циску и начинается вот этот вот бред.

@Ult · 16.11.2016, 17:22 **[ТС]**

В arp таблице в циске вот что:

Это всё мак адресс сетевой ноутбука (не вафля). Обращаю внимание на последний айпи, который 169,254,,,,.

На данный момент на буке настроен статический адресс.

Хрен с ним с буком. На телефоне ведь тоже интернета нет

@Ult · 16.11.2016, 17:37 **[ТС]**

Мля... что за напасть....

Щас вернул всё в исходное состояние, без циски, как работало уже годы и теперь не работает нихрена.

Добавлено через 1 минуту
Бук ведет себя так же, телефон тоже без интернета....

Я 10 раз уже переделывал туда и обратно и всегда возвращаясь к настройке без циски - все работало.

@corlovito · 16.11.2016, 17:41

Сообщение от Ult

Я 10 раз уже переделывал туда и обратно

нарисуйте подробную схему с указанием оборудования и ip адресации

Новые блоги и статьи Все статьи Все блоги /
http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Первый деплой lagorue 16.01.2026 Не спеша развернул своё 1ое приложение в kubernetes. А дальше мне интересно создать 1фронтэнд приложения и 2 бэкэнд приложения развернуть 2 деплоя в кубере получится 2 сервиса и что-бы они. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит: токи, напряжения и их 1 и 2 производные при t = 0;. . .	Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .
Изучаю kubernetes lagorue 13.01.2026 А пригодятся-ли мне знания kubernetes в России?	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28

	Cisco ASA 5520 + DHCP WiFi 14.11.2016, 15:51. Показов 2691. Ответов 34 Метки нет (Все метки) Доброго дня коллеги. Смысл обращения такой: ASA 5520: интерфейс "домру" для доступа к интернету - работает, пинг на 8.8.8.8 с этого интерфейса проходит. Второй интерфейс "wifi" на нем настроен DHCP, он подключен проводом в wifi router. Вайфай роутер пускает клиентов (телефоны и ноутбуки) в сеть из DHCP пула - тоже все нормально. А вот чтобы телефон подключился к интернету - не работает. ************************************** **************** В static routes прописано: ИНтерфейс "домру" network "any" Gateway ip "шлюз дома ру" ************************************ ****************** Фаервол (тут то и основные проблемы) На оба мои интерфейса висит правило пол умолчанию "implicit rule" которое дропает любые пакеты с интерфейса wifi на интерфейс domru Добавил входящие и исходящие правила на каждый интерфейс (на вайфай и на домру), каждое из которых разрешает from any to any. Но packet tracer говорит что злосчастный "implicit rule" все равно дропает. Как отключить эти правила по умолчанию ? или как правильно нужно настроить, чтобы телефоны из пула DHCP ходили в интернет чере ASA5520 ? 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	15.11.2016, 06:57 [ТС]
	Конфиг. Кликните здесь для просмотра всего текста Result of the command: "show running-config" : Saved : ASA Version 8.2(5)22 ! hostname ciscoasa domain-name evm.ru enable password @@@@@ encrypted passwd @@@@@ encrypted multicast-routing names name 195.211.29.X Domru name 195.211.29.Y DomruErth ! interface GigabitEthernet0/0 shutdown no nameif security-level 0 no ip address ! interface GigabitEthernet0/1 description Inbound nameif wifi security-level 100 ip address 192.168.2.2 255.255.255.0 ! interface GigabitEthernet0/2 nameif Domru security-level 0 ip address DomruErth 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 0 ip address 192.168.1.1 255.255.255.0 management-only ! ftp mode passive clock timezone YEKST 5 clock summer-time YEKDT recurring last Sun Mar 2:00 last Sun Oct 3:00 dns domain-lookup Domru dns server-group DefaultDNS name-server 109.195.x.x name-server 109.195.x.x domain-name evm.ru access-list domru_access_in extended permit ip any interface Domru inactive access-list domru_access_in extended permit tcp any any log disable inactive access-list Domru_access_out extended permit ip any any access-list Domru_access_in extended permit ip any any access-list New standard permit 192.168.2.0 255.255.255.0 access-list New standard permit 195.211.x.0 255.255.255.0 access-list wifi_access_in extended permit ip any any inactive access-list wifi_access_in extended permit tcp any any inactive pager lines 24 logging enable logging asdm informational mtu Domru 1500 mtu wifi 1500 mtu management 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (Domru) 1 interface global (wifi) 2 interface global (management) 101 interface access-group Domru_access_in in interface Domru per-user-override access-group Domru_access_out out interface Domru access-group wifi_access_in in interface wifi control-plane route Domru 0.0.0.0 0.0.0.0 Domru 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart sysopt noproxyarp Domru sysopt noproxyarp wifi sysopt noproxyarp management service resetinbound interface Domru service resetinbound interface wifi service resetinbound interface management crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 crypto ca trustpoint _SmartCallHome_ServerCA crl configure crypto isakmp enable Domru crypto isakmp enable wifi crypto isakmp policy 10 authentication crack encryption aes-256 hash sha group 2 lifetime 86400 crypto isakmp policy 20 authentication rsa-sig encryption aes-256 hash sha group 2 lifetime 86400 crypto isakmp policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto isakmp policy 40 authentication crack encryption aes-192 hash sha group 2 lifetime 86400 crypto isakmp policy 50 authentication rsa-sig encryption aes-192 hash sha group 2 lifetime 86400 crypto isakmp policy 60 authentication pre-share encryption aes-192 hash sha group 2 lifetime 86400 crypto isakmp policy 70 authentication crack encryption aes hash sha group 2 lifetime 86400 crypto isakmp policy 80 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 crypto isakmp policy 90 authentication pre-share encryption aes hash sha group 2 lifetime 86400 crypto isakmp policy 100 authentication crack encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 110 authentication rsa-sig encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 crypto isakmp policy 130 authentication crack encryption des hash sha group 2 lifetime 86400 crypto isakmp policy 140 authentication rsa-sig encryption des hash sha group 2 lifetime 86400 crypto isakmp policy 150 authentication pre-share encryption des hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 management-access management dhcpd dns 192.168.2.1 interface wifi ! no threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn anyconnect-essentials username u password p encrypted privilege 15 ! ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 ! prompt hostname context call-home reporting anonymous Cryptochecksum:3 : end 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	15.11.2016, 11:29 [ТС]
	Вот скрин access rules Packet tracer ругается что пакет не может пройти через "domru" из-за этого Implicit rule Даже когда добавляю кучу явных правил открывая from any to any - то же самое. Миниатюры 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	15.11.2016, 12:09 [ТС]
	Я щас много чего поменял, сделал согласно статье на хабре, но всё равно интернет не ходит с вайфая. Кликните здесь для просмотра всего текста Result of the command: "show running-config" : Saved : ASA Version 8.2(5)22 ! hostname ciscoasa domain-name evm.ru enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0/0 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/1 description outside nameif domru security-level 0 ip address 195.211.X.Х 255.255.255.0 ! interface GigabitEthernet0/2 nameif wi-fi security-level 100 ip address 192.168.2.254 255.255.255.0 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 nameif management security-level 100 ip address 192.168.1.1 255.255.255.0 management-only ! ftp mode passive dns domain-lookup domru dns server-group DefaultDNS name-server 109.195.X.X name-server 109.195.Y.X domain-name evm.ru same-security-traffic permit inter-interface pager lines 24 logging asdm informational mtu management 1500 mtu domru 1500 mtu wi-fi 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (domru) 101 192.168.2.100-192.168.2.254 netmask 255.255.255.0 nat (management) 101 0.0.0.0 0.0.0.0 nat (wi-fi) 101 192.168.2.0 255.255.255.0 route domru 0.0.0.0 0.0.0.0 195.211.29.254 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy http server enable http 192.168.1.0 255.255.255.0 management no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd dns 109.195.X.X 109.195.X.X dhcpd domain evm.ru ! dhcpd auto_config domru interface management ! dhcpd address 192.168.2.100-192.168.2.253 wi-fi dhcpd domain evm.ru interface wi-fi dhcpd enable wi-fi ! threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn anyconnect-essentials ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect ip-options ! service-policy global_policy global prompt hostname context no call-home reporting anonymous Cryptochecksum:5619f5db579b409b6d3f2d4f8 f62370b : end 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	15.11.2016, 16:17 [ТС]
	В остальном то все верно ? Добавлено через 2 часа 56 минут Включил инспектирование Все равно пинги не проходят, так же как и интернет. Вайфай роутер подключен из порта "лан 1" в порт циску в интерфейс wi-fi на который я повесил dhcp. Все работает, адреса раздает. Но интернета нету. Чё делать ? 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	15.11.2016, 16:28 [ТС]
	Ребят, не понимаю, хоть убейте.... Мой телефон, подключился к вайфаю, получил адресс из пула DHCP. Делаю Packet Tracer с ip телефона до 8.8.8.8 - все отлично проходит, но на телефоне интернета нет. Миниатюры 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	16.11.2016, 13:17 [ТС]
	Result of the command: "sh conn" 9 in use, 851 most used Result of the command: "sh xlate" 7 in use, 16 most used Global 192.168.2.135 Local 192.168.2.135 Global 192.168.2.128 Local 192.168.2.128 Global 192.168.2.127 Local 192.168.2.127 Global 192.168.2.137 Local 192.168.2.137 Global 192.168.2.145 Local 192.168.2.145 Global 192.168.2.124 Local 192.168.2.124 Global 192.168.2.125 Local 192.168.2.125 sh nat det ^ ERROR: % Invalid input detected at '^' marker. Добавлено через 1 час 14 минут Блин, фигня какая-то началась. Где-то галочку убрал и понеслось, DHCP стал выдавать на один мак постоянно разные ип. В смысле ежесекундно выдает и выдает все новые и новые ИП, а на клиенте написано например 192,168,2,144(повторяющийся) Вроде галочку вернул обратно - не изменилось. перенастроил с нуля - тоже самое. Добавлено через 4 часа 56 минут В чем может быть причина не получения постоянного адреса клиентами ? Если во время "получени ИП" на ноутбуке быстро прописать ipconfig /all, то можно увижеть, что он получил нужный ип, нужный шлюз и днс, но на против ип прописано (повторяющийся) и буквально через секунду, он выдает ему другой не понятный ИП уже без днс, потом снова из нужной сети, так же повторяющийся и так до бесконечности. В чем может быть проблемма ? 0

@corlovito 461 / 442 / 75 Регистрация: 26.12.2012 Сообщений: 2,888
	16.11.2016, 14:16
	https://litl-admin.ru/windows-... ya-ip.html может это поможет 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	16.11.2016, 16:52 [ТС]
	Так у меня кабеля вообще нет.... Там решение, выдерни кабель, пропиши айпи и вставь кабель. У меня вайфай и на телефоне же не выдернешь кабель. 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	16.11.2016, 17:18 [ТС]
	Щас сделал как в статье - результата нет. Смысл такой. У меня есть точка вайфай она подключена к интернету на прямую. Надо пустить её через циску. Когда подключаю без циски, просто через вайфай роутер (на нем настроено дхцп) не важно через вайфай или через провод - всё работает, адресса дает корректно, интернет пашет. Отключаю в роутере дхцп, подключаю его в циску и начинается вот этот вот бред. 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	16.11.2016, 17:22 [ТС]
	В arp таблице в циске вот что: Это всё мак адресс сетевой ноутбука (не вафля). Обращаю внимание на последний айпи, который 169,254,,,,. На данный момент на буке настроен статический адресс. Хрен с ним с буком. На телефоне ведь тоже интернета нет Миниатюры 0

@Ult 0 / 0 / 0 Регистрация: 23.03.2016 Сообщений: 28
	16.11.2016, 17:37 [ТС]
	Мля... что за напасть.... Щас вернул всё в исходное состояние, без циски, как работало уже годы и теперь не работает нихрена. Добавлено через 1 минуту Бук ведет себя так же, телефон тоже без интернета.... Я 10 раз уже переделывал туда и обратно и всегда возвращаясь к настройке без циски - все работало. 0