解決済み: ASAであるインターフェースを通過させて同じContextに適用されているインターフェースのIPへの直接通信はできない？

HITOSHIYAMADA8041 · ‎2021-11-11

ASAであるインターフェースを通過させて同じContextに適用しているインターフェースのIPへSSH通信させたいのですが、できないのでしょうか？

もちろんルーティングや通過させるインターフェースにはSSHの通信許可ACLを設定しています。

試しに該当Contextでソースインターフェースを指定せずにSSHさせたいインターフェースのIPへPingを打つと成功しましたが、ソースインターフェースを指定してSSHさせたいインターフェースのIPへPingを打つと失敗しました。

これはASAの仕様の問題でしょうか？

ちなみにpacket tracerでは以下のような結果でした。

fw1/context1(config)# packet-tracer input int_A tcp 10.200.200.150 10000 10.1.1.1 22

Phase: 1
Type: Pix security check
Subtype:
Result: ALLOW
Config:
Additional Information:
PIX security check: user is not allowed to access a firewall
interface from a network that is connected to another interface

Phase: 2
Type: Pix security check
Subtype:
Result: ALLOW
Config:
Additional Information:
PIX security check: user is not allowed to access a firewall
interface from a network that is connected to another interface

Result:
input-interface: int_A
input-status: up
input-line-status: up
Action: drop
Drop-reason: (no-route) No route to host, Drop-location: frame 0x000000aaad14d7d0 flow (NA)/NA

以上、よろしくお願いいたします。

Kenichiro Kato · ‎2021-11-27

こんにちは。

こちらの事象については、実施いただいたpacket-tracerが示す以下のメッセージの通りであり

PIX security check: user is not allowed to access a firewall
interface from a network that is connected to another interface

ASAに入るタイミングのInterfaceへの管理アクセスは可能ですが、出るタイミングでのInterfaceに対する管理アクセスは出来ない仕様となっております。

元の投稿で解決策を見る

Kenichiro Kato · ‎2021-11-27

こんにちは。

こちらの事象については、実施いただいたpacket-tracerが示す以下のメッセージの通りであり

PIX security check: user is not allowed to access a firewall
interface from a network that is connected to another interface

ASAに入るタイミングのInterfaceへの管理アクセスは可能ですが、出るタイミングでのInterfaceに対する管理アクセスは出来ない仕様となっております。

HITOSHIYAMADA8041 · ‎2021-11-29

こんにちは。

>ASAに入るタイミングのInterfaceへの管理アクセスは可能ですが、出るタイミングでのInterfaceに対する管理アクセスは出来ない仕様となっております。

やはりそうでしたか・・・　ご回答ありがとうございます！