はじめに
CISCOのASA(またはFirepower)の設定で少しつまづいたことがあったので
備忘録を兼ねて記事にしておきます。
ping失敗時の一例として本記事が誰かの助けになれば幸いです。
状況
・NW環境を構築しASAを使ってアクセス制御をしている
・アクセスリストは設定済み(プロトコルはipで許可)
・送信元から宛先に対してTCPの通信はできるが、pingを使った疎通確認ができない
(リーチャビリティはある)
TCPでの通信ができていることから、アクセスリスト・ルーティング設定はできている事が分かりましたが、なぜかpingは失敗してしまうという状況で詰まってしまいました。
原因
ASAで「inspect icmp」を設定し忘れていたことが原因でした。
※ASAは基本的にはステートフルインスペクションが機能していますが
inspect icmp はデフォルトで無効になっています。
※ステートフルインスペクション
送信元から宛先への通信を許可した場合、その宛先から送信元に戻ってくる通信を動的に許可するもの。
対処方法
基本的にはconfigのclass inspection_defaultの個所に
inspect icmpを追加してあげれば完了です。
CISCOのコミュニティサイトに、ASAでのinspect icmpの設定方法や
ICMPの挙動について詳しい情報が載っています。
まとめ
inspect icmpを設定しなくても、ASAのinsideとoutsideにicmp許可のポリシーを設定してやればpingを通すことは可能ですが、通信要件毎にin/outのicmpポリシーを設定するより、inspect icmpを入れてやる方が手間は少なくて済むと思います。
分かれば単純な原因ですが、切り分けには結構時間が掛かかりました。