Bonjour,
 
Je me permets de faire appel aux expérimentés en config de firewall Cisco ASA pour un petit souci que je rencontre et que je n’arrive pas à résoudre...
 
Schema rapide :
 
[Internet 10.0.0.1]------[out 10.0.1.2]-FW-[in 10.0.2.2]------[LAN 10.0.2.0]-----[10.0.2.1-Routeur client]-----[Client 10.0.3.0]  
 
Problématique :
 
Le réseau 10.0.2.0 doit pouvoir accéder à :
- internet via l’interface 10.0.1.1  
- réseau client en 10.0.3.0 via une connexion Citrix
 
Acces internet :
- Règle de NAT :
global (outside) 1 interface
nat (inside) 1 10.0.2.0 255.255.255.0
 
- Route par défaut:
route outside 0.0.0.0 0.0.0.0 10.0.1 1 1
 
 
Accès au réseau client :
- Ajout de la route vers le réseau client qui n’a pas d’interface IP sur le FW:
        route inside 10.0.3.0 255.255.255.0 10.0.2.1 1
 
- Commande same-security-traffic permit intra-interface pour pouvoir entrer et sortir sur la même interface.
 
-      Ajout d’une NAT exempt pour joindre le réseau client :
 Access-list IN_NAT_0 extended permit ip 10.0.2.0 255.255.255.0 10.0.3.0 255.255.255.0
        Je ne suis pas sur que cette derniere soit nécessaire car le nat doit seulement se faire  de l’inside vers l’outside normalement…
 
 
Resultat :
Depuis le LAN 10.0.2.0, je sors bien sur internet avec le NAT mais impossible de me connecter au réseau du client 10.0.3.0.
Pour info :
- le NAT pour le réseau client est géré par le routeur client.
- Quand je rajoute la route pour joindre le client en dur sur les postes client et donc en ne passant pas par le FW, ca fonctionne. Il y a donc bien un souci de config sur le FW.
 
Logs :
Errors : portmap translation creation failed for udp src inside: 10.0.2.10/X dst inside: 10.0.3.X/X
Je ne comprends pas trop le lien avec mon souci…
 
Config de l’ASA :
Je l’ai reset pour qu’il n’y ait pas de commandes parasites et j’ai indiqué normalement toutes les infos nécessaires
 
Question ?
Faut-il rajouter des commandes spécifiques pour accéder à un réseau qui n’est pas directement connecté au FW depuis un réseau qui l’est ?
Normalement avec la commande same-security-traffic permit intra-interface, on peut entrer et sortir par la meme interface comme dans mon cas qui me pose probleme
 
Merci d’avance pour votre aide.

le log indique plutôt un problème de nat;  
je ne sais pas si tu peux faire du nat d'une interface vers elle même;
 
le plus simple serait de n'avoir qu'un routeur sur le lan (par ex l'asa) et de router le trafic vers 10.0.3 plutôt que d'essayer de le renvoyer vers le routeur 10.0.2.1 ? (les équipements de sécurité n'aiment pas trop ce type de configuration asymétrique).