ARGOMENTO:

Salve a tutti, propongo la seguente semplice topologia.



L'obiettivo è quello di far pingare ad R1 la loopback di R2 e anche R2 deve poter pingare R1.
Ho configurato le seguenti rotte statiche:

R1: ip route 0.0.0.0 0.0.0.0 fa0/0
ASA: route outside 2.0.0.0 255.0.0.0 9.0.0.2
R2: ip route 10.0.0.0 255.0.0.0 fa0/0

Poi sull'ASA (operante in single mode):

access-list da_OUTSIDE permit icmp any any
access-group da_OUTSIDE in interface outside

Non solo R2 non pinga R1, ma neanche R1 pinga R2. L'ASA pinga sia R1 che R2. La situazione non cambia neanche aggiungendo il comando inspect icmp e inspect icmp error alla class map default della global policy.

Per chi conoscesse il lab Active-Active Failover della Sezione 5 dei lab CCIE Security, la situazione peggiora, poiché il ping non funziona neanche tra l'interfaccia inside dell'ASA e il router che si trova sulla stessa VLAN!!! Ho letto su qualche forum che quando ci sono le vlan servono delle licenze, ma sinceramente non so dove sbattere la testa.

Il problema del ping tra l'ASA e i router sulle stesse VLAN usando le subinterfaces è risolto: era dovuto al fatto che la configurazione degli IP delle sottointerfacce non era stata presa dal dispositivo (me ne sono accorto con show interface ip brief).

Resta il problema di come fare inter-vlan routing tramite l'ASA e il routing tra interfacce con security-level 100 e 0 e viceversa.

Per risolvere il problema dell'inter-vlan routing si possono utilizzare i comandi

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

Ovviamente, nel caso dell'inter-vlan routing ci basta il primo comando: il ping inter-vlan funziona.
Il fatto è che non mi soddisfa molto, perché preferirei usare un'ACL del tipo permit ip any any. Ho disattivato il comando same-security-traffic e ho provato a usare le ACL.
Mi è parso di capire che il traffico va permesso dall'ASA sia in ingresso che in uscita da una certa interfaccia. Ho creato due ACL identiche che permettono tutto il traffico ip e le ho applicate una in ingresso e l'altra in uscita sulle sottointerfacce dell'ASA. Purtroppo l'inter-vlan routing non funziona e i dispositivi non si pingano.

Il problema per quanto riguarda la topologia rappresentata nel post, che non è relativa all'inter-vlan routing, è che il ping da R1 a R2, in questo caso, non si può risolvere con i comandi same-security-traffic, perché la security delle interfacce è diversa.

Ciao Sergio,
alcuni punti fondamentali che potrebbero aiutarti:
1. Il traffico fluisce senza bisogno di ACL da int a livello di sicurezza maggiore a livello di sicurezza minore
2. Se si vuole abilitare il traffico a passare su int allo stesso livello di sicurezza è necessario configurare same-security-trafficpermit inter-interface o è anche sufficiente same-security-traffic permit intra-interface di medesima interfaccia
3. Il traffico di ritorno viene fatto passare automaticamente se ispezionato, alternativamente deve essere impostata una ACL in verso entrante sulla interfaccia a livello di sicurezza minore in verso entrante.
4. In generale non c'è mai bisogno di impostare ACL in verso uscente a meno di casi particolari.

Spero questo possa aiutarti
[edit 9-6-2014]

Grazie Virgilio!
Come ti avevo accennato, avevo già letto la teoria (purtroppo non studiata) per poterci tornare sopra procedendo di LAB in LAB, soffermandomi sugli aspetti chiave (le guide sono ottime ma, spesso, molto dispersive). Avevo capito il fatto che l'ASA permette il traffico da interfaccia a security maggiore a interfaccia a security minore, quindi non pensavo al traffico di ritorno!

Inoltre, ho appreso da vari forum che i ping diretti all'IP dell'interfaccia outside (o a qualunque interfaccia a security 0) dell'ASA non sono permessi neppure se provenienti da host collegati a interfacce a security 100 o, comunque, superiore a 0. Anche questa cosa mi ha creato un caos enorme!

Dell'elenco che mi hai fatto, non ho ancora implementato l'ispezione del traffico (aspetto di fare un LAB al riguardo), mentre credo che ci sia un bug o simili su GNS3 per quanto riguarda l'inter-VLAN routing. Infatti, ho creato delle sottointerfacce sull'ASA, ognuna a stessa security e corrispondente a una VLAN diversa. Per permettere a router su VLAN diverse di pingarsi, ho dovuto usare comunque la variante inter-interface del comando same-security-traffic permit. Con intra-interface il ping non mi funziona anche se, come hai giustamente detto, l'interfaccia fisica è la medesima.

Ancora complimenti per l'esame CCIE Security Written! Ormai starai perdendo il conto anche tu di quante certificazioni "Expert" hai conseguito!

Correggo quanto detto e riporto dalla command guide Cisco ASA 8.4:
"The same-security-traffic intra-interface command lets traffic enter and exit the same interface, which is normally not allowed. This feature might be useful for VPN traffic that enters an interface, but is then routed out the same interface."

Il comando serve per eliminare una sorta di split-horizon presente su asa che si attiva in casi molto particolari che personalmente non ho mai incontrato, ad esempio in caso di VPN che si chiude su un'interfaccia e esce dalla stessa. Quindi due subinterface devono considerarsi due interfacce separate e pertanto necessitano di same-security-traffic inter-interface.

In generale ti consiglio di non darti mai come spiegazione il fatto che ci sia un bug con QEMU perchè a livello 3 ne ha pochissimi se non nessuno, quindi quando sospetti una cosa del genere cerca su google per verificare se è confermata.

Resto dell'idea che le cose si imparano facendo quindi stai sereno de dopo aver studiato mettendo le mani su un Cisco ASA ti senti come se non sapessi nulla... servono i lab per connettere le sinapsi nella giusta maniera