» Настройка Cisco PIX Firewall / ASA

Всем доброго времени суток

Есть вопрос, для меня пока не совсем тривиальный
сам понимаю, что есть все в документации, но как обычно времени нет, так бы почитал доку и форумы ...
буду признателен всем кто откликнется


Исходные данные.
Есть cisco asa 5505 (прошивка 8.2(3)), на нее через одного провайдера и через один кабель выдается две белые подсети с маской 255.255.255.248


Задача
одна посеть используется давно, другую (точнее один ip другой подсети) нужно заюзать под почтовый сервер (внешний)
с первой подсетью все было просто, зарегил ее на 0-м интерфейсе, самому интерфейсу дал первый белый ip, настроил статическую маршрутизацию - все летает, работает

не совсем понимаю как в моем девайсе на один интерфейс завести два ip (уточню, до комм строки в cisco до нужного уровня не дорос, делаю все через ГУЮ, ну почти все)
пока сделал все через Ж

перед циской поставил коммутатор, в него воткнул входящий от провайдера кабель
в други два порта запитал 0-й порт и 1 порты cisco
на 0-м порту все осталось без ихзменений, на 1-й порт назначил белый ip из второй выданной подсети
шлюз провайдера 2-й подсети с циски пингуется

меня смущает то, что я глабально настроил маршрутизацию на cisco
в которой указано все пакеты на подсеть 0.0.0.0/0.0.0.0 отправляются с 0-го интерфейса на шлюз первой подсети

Вопросы
1. как правильно назначить несколько белых подсетей
2. как разрулить маршрутизацию

буду признателен даже за прямые линки на примеры

slaj1
У меня 515 пикс, но я думаю одинаково.
В ASDM-конфигурация-по правой кнопке на нужном физическом интерфейсе-там ADD и заполняете еще один адрес (там же настраиваются Ви-ланы).
Затем по моему в разделе NAT пишите статик с указанием трансляции на нужный адрес, и все. Да, адрес интерфейса не должен совпадать с адресом трансляции.

P.S. В своем ПИКСе настройки не трогал много лет, может что и забыл.

wwladimir
спасибо большое, сейчас коллега приедет, бум проверять.
получается, что я сделал все правильно.

но были сомнения

если что-то будет не так - отпишусь

не пахает, ася почему-то принимает пакеты из второй подсети на первый внешний интерфейс и ругается на это - типа нет разрешающих правил

slaj1
Если я все правильно понял, то нет необходимости поднимать второй интерфейс и т. п.
Настраиваем ip nat трансляцию.
static (inside,outside) tcp IP_ADDR_PROVIDER_2 25 IP_ADDR_INSIDE_SMTP_SERVER 25 netmask 255.255.255.255
IP_ADDR_PROVIDER_2 это тот самый адрес на который должны подключаться к почтовику снаружи.
IP_ADDR_INSIDE_SMTP_SERVER это адрес сервера на который должны эти подключения перенаправляться.
25 это соответственно smtp порт.
То есть не обязательно, чтобы этот адрес на асе был привязан к интерфейсу.
Единственный вопрос - отдаст ли аса свой мак-адрес, когда придет подключение на этот (второй) адрес. Но, думаю, что отдаст в роутерах циско это по-моему называлось proxy-arp, должно и здесь отработать. Короче нужно попробовать.

Цитата:

Задача
одна посеть используется давно, другую (точнее один ip другой подсети) нужно заюзать под почтовый сервер (внешний)
с первой подсетью все было просто, зарегил ее на 0-м интерфейсе, самому интерфейсу дал первый белый ip, настроил статическую маршрутизацию - все летает, работает

не совсем понимаю как в моем девайсе на один интерфейс завести два ip (уточню, до комм строки в cisco до нужного уровня не дорос, делаю все через ГУЮ, ну почти все)

зачем коммутатор? спокойно можно сделать через статику.
показали бы конфиг, народу было бы проще помогать)

В наличии ASA5520 8.2(5)13 и anyconnect (win) 3.0.5080

Настраиваю, по руководству администратора, запуск скрипта после соединения:
1. создал и закачал скрипт на ASA
2. создал AnyConnect Client Profile
3. активировал в профиле запуск скриптов
4. привязал профиль к групповой политике
клиент подключается, профиль и скрипт копируются на удаленный компьютер и на этом все заканчивается - скрипт не стартует
перечитал FAQ & Troubleshooting, пробовал как VBS, так и CMD скрипты, пересоздавал профиль, результат тот же - скрипты исправно копируются на удаленный компьютер, но не запускаются

у кого-нибудь это работает? может там нюанс какой есть, которого в документации нет?

у самого мысли пока кончились, прошу помощь зала: куда копать дальше?

Доброго времени суток
schukin

Цитата:

Если я все правильно понял, то нет необходимости поднимать второй интерфейс и т. п.

Цитата:

Настраиваем ip nat трансляцию.
Настраиваем ip nat трансляцию.
static (inside,outside) tcp IP_ADDR_PROVIDER_2 25 IP_ADDR_INSIDE_SMTP_SERVER 25 netmask 255.255.255.255
IP_ADDR_PROVIDER_2 это тот самый адрес на который должны подключаться к почтовику снаружи.
IP_ADDR_INSIDE_SMTP_SERVER это адрес сервера на который должны эти подключения перенаправляться.
25 это соответственно smtp порт.
То есть не обязательно, чтобы этот адрес на асе был привязан к интерфейсу.
Единственный вопрос - отдаст ли аса свой мак-адрес, когда придет подключение на этот (второй) адрес. Но, думаю, что отдаст в роутерах циско это по-моему называлось proxy-arp, должно и здесь отработать. Короче нужно попробовать.

вроде так и сделал, через public servers в ASDM делал NAT трансляцию, не заработало
НО и заработать не могло, т.к. тут еще и с маршрутизацией играться надо, т.к. во второй подсети свой виртуальный шлюз ... от провайдера

НО, мыслю понял, буду играться

ESX091
понял, спасибо большое
еще чуть-чуть поиграюсь с настройками и если ничего не получится выложу конфиг
самому хочется разобраться, учитывая, что и время теперь не поджимает, как было 02.02.2012-го

Здравствуйте!

Помогите новичку решить вот такую проблему....

есть большая сеть, использующая адресацию 10.1.1.х необходимо выделить из нее 5 компьютеров и присвоить им адреса 192.168.20.х Для разделения люди купили ASA 5505. как теперь ее настроить, чтобы компьютеры с адресами 192.168.20.x вообще не могли получить доступ в сеть 10.1.1.х а снаружи, из 10-ой сети, был доступен только один из компов, допустим 192.168.20.2, для подключения к Mysql. Т.е на компе 192.168.20.2 крутится mysql, к нему снаружи должен быть доступ с определенного адреса, допустим 10.1.1.123. а сам он наружу выйти чтоб не мог... с циской до этого дела не имел, спросить особо некого

а где здесь проблема?
если хотите разобраться, то на cisco.com литературы и примеров очень много.
если требуется помощь именно в решении каких-то моментов, пишите, поможем.
а если хотите, чтобы за Вас настроили, то так и напишите. =)

чего душой кривить - в идеале бы увидеть команды CLI для полной настройки или конфиг, решающий описанную задачу...

gaizerkirov

Цитата:

Здравствуйте!

Помогите новичку решить вот такую проблему....

Самый простой вариант для Вас это попробовать настроить через какую-нибудь графическую утилиту. То есть что-нибудь типа Cisco ASDM. Там на самом деле будет проще разобраться, в том числе, если что-то не заработает.
Если же через консоль, то придется все-таки разбираться и учиться хотя бы на готовых примерах.
Ну а если по командам, то наверное можно так.
Далее пишу отсебятину, из своего личного опыта.
1. Набросать схемку для себя, чтобы понимать какой провод куда приходит и какая там должна быть адресация.
2. Настроить интерфейсы, куда подключаются провода.
Типа так:
interface Ethernet0
description INSIDE
nameif INSIDE
security-level 100
ip address 10.1.1.1 255.255.255.0

Interface Ethernet1
description DMZ
nameif DMZ
security-level 50
ip address 192.168.20.1 255.255.255.240

На пиксах и асах по-умолчанию доступ с интерфейса с меньшим security-level в интерфес с большим security-level запрещен. То есть по-умолчанию из DMZ достучаться до INSIDE не получится.
Обратно все разрешено (с большего в меньший).

3. Чтобы ограничить доступ из INSIDE в DMZ надо сделать access-list и привязать его к интерфесу.

access-list Traffic-from-INSIDE extended permit tcp host 10.1.1.123 host 192.168.20.2 eq 3306
access-list Traffic-from-INSIDE extended deny any any log
access-group Traffic-from-INSIDE in interface INSIDE

Последняя строчка, где deny any any log полезна, чтобы видеть, какой траффик не попал в этот аксесс-лист и был отброшен. Смотреть лог можно командой show log
Все приведенное это самый базовые настройки которые потребуются.
Все наименования INSIDE DMZ и пр. условны их можно назвать как душе угодно, аналогично и с аксесс-листами.

еще такой вопрос:
от провайдера у меня статический - шлюз, IP, DNS1, DNS2
как мне на PIX не поднимая DHCP прописать DNS1, DNS2???

вот что было Для DHCP:
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd dns 62.213.0.12 62.213.2.1 interface inside

а нужно без DHCP во внутренней сети! Не могу понять как сделать!

Заранее извиняюсь!

alexey63rus

Цитата:

еще такой вопрос:
от провайдера у меня статический - шлюз, IP, DNS1, DNS2
как мне на PIX не поднимая DHCP прописать DNS1, DNS2???

Вроде так:
dns name-server DNS1
Вроде так, если я правильно понял вопрос.

Цитата:

Самый простой вариант для Вас это попробовать настроить через какую-нибудь графическую утилиту. То есть что-нибудь типа Cisco ASDM. Там на самом деле будет проще разобраться, в том числе, если что-то не заработает.
Если же через консоль, то придется все-таки разбираться и учиться хотя бы на готовых примерах.
Ну а если по командам, то наверное можно так.
Далее пишу отсебятину, из своего личного опыта.

Вы даже не представляете себе, насколько помогли... графические утилиты я не очень уважаю, стараюсь разбираться досконально, потому и решил сразу же опуститься до уровня CLI. именно от вас я узнал о доступности интерфейсов с разным секьюрити-левел....
картинка того, что нужно сделать - уже оформилась в голове. большое спасибо!

Добавлено:
вот что у меня получилось:
в Ethernet 0/0 будет воткнут патчкорд до свитча сети 10.x.x.x
в Ethernet 0/1-0/4 будут подключены компы сети 192.168.20.х
попытался настроить чтобы был доступ от компьютера 10.х.х.22 до компьютера 192.168.20.14 по порту 3306 и разрешил ему же пинговать.
вот полный конфиг:

:
ASA Version 8.2(1)
!

!
interface Vlan1
nameif inside
security-level 100
ip address 10.х.х.190 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.20.1 255.255.255.0
!
interface Ethernet0/0
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
shutdown
!
interface Ethernet0/6
shutdown
!
interface Ethernet0/7
shutdown
!
boot system disk0:/asa821-k8.bin
ftp mode passive
access-list traffik-from extended permit tcp host 10.х.х.22 host 192.168.20.14 eq 3306
access-list traffik-from extended permit icmp host 10.х.х.22 host 192.168.20.14
access-list traffik-from extended deny tcp any any log
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group traffik-from out interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd lease 1048575
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
message-length maximum client auto
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:b640249ecea806ddf1b022e6dfaeb1d8
: end

но похоже намудрил с роутингом... прошу прокомментировать - все ли верно?

Цитата:

но похоже намудрил с роутингом... прошу прокомментировать - все ли верно?

вы просто его не настроили

Цитата:

вы просто его не настроили

а как настроить? пока не догоняю...

gaizerkirov
команда route

gaizerkirov
1.
Цитата:

access-group traffik-from out interface inside

Тут есть ошибка: Само соединение идет с inside в направлении outside, у вас же аксесс-лист повешен на интерфейсе inside, но в направлении на выход (OUT) должно быть на вход (IN).
2. Здесь у Вас обе сети присоединенные (Connected) в таблицу маршрутизации они попадают автоматически, поэтому настраивать маршрутизацию не надо. Можете посмотреть show route.
Остальные некритичные замечания:
3. Настроена нат-трансляция всех пакетов приходящих на интерфейс инсайд и уходящих в outside в адрес интерфейса (192.168.20.1). Это действительно необходимо? То есть сервер 192.168.20.14 будет видеть, что к нему идет подключение с адреса 192.168.20.1. Можно отключить трансляцию
nat 0 10.x.x.0 255.255.255.0
или точно также можно хост, вместо сети указать, тогда трансляции не будет. Но это не критично, можно пока ее не трогать, добиться чтобы заработало, а потом и трансляцию поковырять.
4. Наименование аксесс-листа в итоге получилось неинформативным.
5.
Цитата:

access-list traffik-from extended deny tcp any any log

Такая последняя строка в аксесс-листе тоже не очень удачна. В аксесс-листах у цисок всегда последним идет запись deny ip any any, ее просто не видно, то что мы добавляем deny ip any any log
заставляет асу записать это событие в лог, но дополнительных ограничений эта строка в аксесс-лист не вносит. А у вас получается, что в логе отобразится только отброшенное tcp соединие, а например пинг вы там не увидите, поэтому лучше все-таки так: deny ip any any log

Еще добавьте
logging enable
logging buffered debugging
logging monitor notification

Это позволит видеть сообщения, если что-то не проходит. И видно будет логи командой
show logg

Еще в процессе проверки хорошо бы включить terminal monitor, Это если вы не из консоли работаете, если же из консоли ( по синему шнурку) то все сообщения будут видны сразу.

Можно вопрос, есть Pix 515e, какая туда максимальная карта памяти взезет, щас стоит 16mb, и можно ли щас купить гденибуть, и обязательно карточку от циско или другая установиться нормально, сильно непинайте.

нашел

skliz
а что ты туда запихнуть хочешь? лучше проц заменить на Пень3 - пикс тогда летает просто

Добавлено:
кстати недавно Cisco анонсировало новую линейку ASA 55..-X какая там внутри начинка? проц память и сетевухи?

xxlsuper
asdm хочу туды последнюю воткнуть, а так как там 16 стоит то последняя нелез места нету.

Здравствуйте есть вопросик.
Две асы, одна 5580, другая 5520, одинаковые прошивки: Cisco Adaptive Security Appliance Software Version 8.4(2)
Device Manager Version 6.4(5)

Настроен между ними IPsec, всё бегает хорошо до тех пор, пока не возникает какой-то большой трафик.
Вот случилось такое, что видел первый раз: пустили большое количество трафика, спустя 15 минут пинги внутри туннеля пропали, канал считал себя живым больше часа, пока принудительно не сделал clear crypto ikev1 sa X.X.X.X, после чего канал оборвался/поднялся и всё заработало дальше.

Настройки с большего стандартные:
crypto map XXXX 10 set security-association lifetime seconds 86400

crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash md5
group 2
lifetime 86400
crypto ikev1 policy 65535
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400


tunnel-group X.X.X.X ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 600 retry 2


Из особенностей, которых я раньше не видел, в логах было такое:
Mar 03 2012 17:50:54: %ASA-5-713904: Group = X.X.X.X, IP = X.X.X.X, Phase 2 rekey collision, found centry 0x74744a40

Гугление по такой вещи ничего не дало.

В общем - часто ли такое бывает у кого-нибудь и гоняет ли кто-то большой трафик между ASA внутри IPSec?

в моменты большого трафика посмотрите счетчики на интерфейсах, загрузку cpu.
вот эту команду можно было не писать
isakmp keepalive threshold 600 retry 2
проверьте как работают keepaliv-ы.
пособирайте дебаги с isakmp
8.4(2) стоит достаточно давно на многих асах. пока проблем с l2l не было.

isakmp keepalive threshold 600 retry 2 - вот эту да, забыл вычистить именно с той стороны, сейчас убрал.

Рисковать прямо сейчас там немного стрёмно, ответственный продакшн.
Загрузка CPU была примерно процентов 30-35, трафика примерно мегабит 40, когда сложилось.

Bock
А я бы наоборот с обоих сторон поставил isakmp keepalive но не 600 секунд а поменьше.
Keepalive запускается, если в туннеле не было траффика (в вашем случае 600) секунд, а затем запускается пустой шифрованный пакет, если на него нет ответа, то еще один (у вас стоит 2 раза) если снова нет ответа, то сгенеренные туннельные ключи убираются, и идет попытка договориться о новых ключах.
Но суть в том, что если такую штуку ставить только с одной стороны, то эта сторона и подчистит мертвый туннель, а вторая будет держать старые ключи, пока срок жизни их не истечет. Поэтому надо ставить такие строчки на обоих сторонах
Я обычно использую isakmp keepalive threshold 10.
Если нет траффика в течении 10 секунд пускай обменивается keepaliами.
А 600 секунд это многовато, для туннеля. То есть, если по каким-то причинам криптование остановилось, то в вашем случае туннель в течении 10 минут скорее всего будет лежать.

Туннель лежал больше часа. Вот это и смущает.
isakmp keepalive сейчас поставил дефолтный, как раз 10 секунд и есть, по моему.
Ещё, видимо, поставить vpd-idle таймаут в none, иначе IPSec трафик падает, если нет активности полчаса.
Всякое бывает.

Здравствуйте, я новичок в CISCO.
случилась ситуация:
есть пул: L2TP-Pool 192.168.0.1-192.168.0.10 mask 255.255.255.0
новому клиенту присваивается например: ip 192.168.0.1 255.255.255.255 - не знаю почему все 255!!!!!!!!!!!

и локальный пул : ip address 192.168.1.1 netmask 255.255.255.0

адреса клиентам выдаются, но, с циски я их могу пинговать и они циску то же,
а вот из локальной сети я их не вижу и они локальную сеть офиса

PIX Version 8.0(4)32
!
hostname PIX0
domain-name sat.local
enable password XXXXXXXXXXXXXXX encrypted
passwd XXXXXXXXXXXXXX encrypted
names
dns-guard
!
interface Ethernet0
nameif outside
security-level 0
ip address 55.112.60.102 255.255.255.252
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
ftp mode passive
clock timezone AZST 4
dns domain-lookup outside
dns domain-lookup inside
dns server-group DefaultDNS
name-server 22.213.0.12
name-server 22.213.2.1
domain-name sat.local
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group service bank tcp
port-object eq 9443
port-object eq 8000
object-group service DM_INLINE_SERVICE_1
service-object tcp-udp eq domain
service-object tcp eq 8000
service-object tcp eq 9443
service-object tcp eq www
service-object tcp eq https
service-object tcp eq pop3
service-object tcp eq smtp
service-object tcp eq ftp
service-object icmp
access-list DefaultRAGroup_splitTunnelAcl standard permit any
access-list inside_access_in_1 extended permit object-group DM_INLINE_SERVICE_1 any any
access-list inside_nat0_outbound extended permit ip any any
pager lines 24
logging enable
logging timestamp
logging trap informational
logging asdm informational
logging facility 23
mtu outside 1500
mtu inside 1500
ip local pool L2TP-Pool 192.168.0.1-192.168.0.10 mask 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image flash:/asdm-615.bin
no asdm history enable
arp timeout 14400
global (outside) 1 55.112.60.101 netmask 255.255.255.252
global (outside) 101 interface
nat (inside) 101 0.0.0.0 0.0.0.0 dns
access-group inside_access_in_1 in interface inside
route outside 0.0.0.0 0.0.0.0 85.112.60.101 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
dynamic-access-policy-record DfltAccessPolicy
network-acl inside_nat0_outbound
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set transform-set AES-192-SHA ESP-3DES-SHA ESP-DES-SHA TRANS_ESP_3DES_SHA
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp enable outside
crypto isakmp policy 5
authentication pre-share
encryption 3des
hash sha
group 5
lifetime 86400
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
ssh version 2
console timeout 0
management-access inside
threat-detection basic-threat
threat-detection scanning-threat
no threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp authenticate
ntp server 22.117.76.141 source outside
ntp server 22.117.76.130 source outside prefer
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 192.168.1.1
vpn-tunnel-protocol IPSec l2tp-ipsec
split-tunnel-policy tunnelall
split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl
group-policy DfltGrpPolicy attributes
vpn-idle-timeout none
split-tunnel-policy tunnelspecified
split-tunnel-network-list value DefaultRAGroup_splitTunnelAcl
username users password /yvpt6OhMFdf4lx6zg== nt-encrypted privilege 1
username users attributes
vpn-tunnel-protocol l2tp-ipsec
username usersm password /yvpt6OhMFdf4lx6zg== nt-encrypted privilege 1
username usersm attributes
vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
address-pool L2TP-Pool
tunnel-group DefaultRAGroup ipsec-attributes
pre-shared-key *
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
!
service-policy global_policy global
prompt hostname context
: end


в логах вот что:

3 Mar 15 2012 12:12:04 305005 192.168.1.3 No translation group found for icmp src outside:192.168.0.1 dst inside:192.168.1.3 (type 8, code 0)

%ASA-3-305005: No translation group found for protocol src
interface_name:source_address/source_port dst interface_name:
dest_address/dest_port
A packet does not match any of the outbound nat command rules. If NAT is not configured for the specified source and destination systems, this message will be generated frequently.

This message indicates a configuration error. If dynamic NAT is desired for the source host, ensure that the nat command matches the source IP address. If static NAT is desired for the source host, ensure that the local IP address of the static command matches. If no NAT is desired for the source host, check the ACL bound to the NAT 0 ACL.

alexey63rus
Добавьте в конфиг nat 0.