Pytanie : Wciąż zagadnienie pinging od jeden subnet jeden przez ASA 5510

Cześć poczta, poczta być w odniesieniu do poprzedzający poczta tutaj: LINK

I am ping od gospodarz na mój 172.16 sieć gospodarz na 192.168.100.0 network

The interfejs być jak sieć:

Inside: 172.16.20.20
outside: 200.200.200.200
OTHER: 192.168.20.5

beyond the INNY interfejs być the 192.168.100.0 subnet który I potrzebować sprawnie i świst od mój mój hosts.

I móc ping 192.168.20.5 z wewnątrz the ASA inside interfejs (telnet), jednakże mój gospodarz móc ping.  I móc ping the inside interfejs właśnie świetnie od mój gospodarz.  

The trasa na mój ASA dodawać i być jak w ten sposób:

route (INNY) 192.168.100.0 255.255.255.0 192.168.20.5 (składnia móc błędny, ale the trasa praca gdy I móc ping 192.168.100.x od the ASA.  Zanim I dodawać the trasa I móc.  

Currently mój przystępować-lista ustawiać ip jakaś wcale wewnątrz na the inside interfejs i the wcale na the INNY interface.

The poziom zabezpieczeń na the WCALE interfejs i the inny interfejs być oba 100.

I próbować dalej dalej kontrola i statyczny (statyczny, OBRACAĆ) 172.16.20.0 172.16.20.0 i obracać wydawać się, ale gdy I biegać the paczka tracer I móc NAT przekład od the INNY interfejs inside.

So podstawowy: statyczny (statyczny,/>AND) 172.16.20.0 172.16.20.0 netmask 255.255.254.0
and: cokolwiek (cokolwiek) (0) interface

However, ponieważ I mieć interface

Should nie I pozwolić ip wyjeżdżające the INNY interfejs sprawnie ping the 192.168.100.0 sieć?
If I być NATing, dlaczego ono pozwolić the odwrotny przekład gdy I używać globalny NAT jak w ten sposób:

nat (inny) (1) 172.16.20.x
global (172.16.20.X
I próbować the above i ono pracować dla mój gospodarz ping, ale znowu, the paczka tracer przedstawienie żadny przekład gdy I biegać the ślad od ALE: SRC: 192.168.100.2 172.16.20.1 i od INNY: SRC: 192.168.20.1 172.16.20.1

I nadzieja który I provided dosyć info na provided.  Znowu, I móc mój aktualny config, ale ono łączyć przy the wierzchołek, i teraz I brać teraz wszystkie wszystkie oświadczenie i obracać z nat-kontrolować i am pozwolić ip i i na mój ACL i mój dostęp grupować oba punkt wewnątrz na the inside interfejs i PUNKT interfejs.  Jeżeli I robić który źle na NAT'ing then zadawalać pozwalać know.

LRMoore, jeżeli ty móc chime wewnątrz na to wtedy który być wspaniały.  I zupełnie dostać twój poczta w mój ostatni pytanie.  

Thanks w postęp dla twój help.

Odpowiedź : Wciąż zagadnienie pinging od jeden subnet jeden przez ASA 5510

The NAT (0) nakazowy przystępować-spisywać przyczyna kupczyć że dopasowanie the przystępować-spisywać przez nieprzetłumaczony

Ty tylko potrzebować the NAT (0) oświadczenie na jeden the para interfejs w rozkaz dla ono w oba kierunek. Poziom zabezpieczeń wysoki depresja pozwolić ruch drogowy w ten kierunek (od wysokość depresja) bez the potrzeba dla granulacyjny przystępować-spisywać chociaż móc oczywiście używać wysokość niski ruch drogowy. Depresja wysokość wymagać ACL ruch drogowy.

W Ten Sposób ty mieć 3 rzecz dalej -
NAT (0) - używać daleko nat dokąd ono potrzebować
Poziom Zabezpieczeń - Wysoki Depresja pozwalać
ACL - używać granulacyjny kontrola Wysokość Niski ruch drogowy dokąd potrzebny i kontrola ruch drogowy od Depresja Wysokość