Добрый день! Наш эксперт не совсем понял смысл вопроса. У вас АРМ подключен прямым проводом к ASA и при этом на нем не настроена статика, раз происходит смена IP адреса 2 раза в месяц? Соответственно здесь с вероятностью 90% нужно не настройки ASDM крутить, а настройки DHCP чтобы IP адрес не менялся.

@@gazinformservice в натройкe Асдм в Аса вкл. dhcp. Схема простая: интернет-аса-пк.

Cisco ASA, в отличие от роутера Cisco, по соображениям безопасности позволяет обращаться только к ближайшим интерфейсам и блокирует весь сквозной трафик до интерфейсов. Исключение только есть для IPsec: вы можете обратиться на внутренний интерфейс устройства, если трафик пришёл в IPsec-туннеле с внешнего. Если это не работает - проверьте правила исключений NAT, которые создаются при настройке IPsec. Работу туннеля лучше проверить следующими способами: 1) В ASDM в разделе "Monitoring->VPN->VPN Statistics->Sessions" 2) В CLI при помощи команд: sh crypto isakmp sa - показывает наличие защищенного соединения 2-ой фазы IPsec sh crypto isakmp stats - более подробный вывод по 1-ой фазе IPsec sh crypto ipsec sa - показывает наличие защищенного соединения 2-ой фазы IPsec sh crypto ipsec stats - более подробный вывод по 2-ой фазе IPsec !Важно: чтобы туннель поднялся - по нему должен идти какой-нибудь трафик. Разорвать защищенные соединения можно при помощи команд: clear isakmp sa - разрывает защищённое соединения 1-ой и 2-ой фазы IPsec clear ipsec sa - разрывает защищённое соединения 2-ой фазы IPsec После разрыва туннель должен автоматически перестроиться при наличии трафика.

Сергей Роменский спасибо, второй вариант надо проверить. Дело в том что тоннель неявный, он активен когда есть трафик и он его шифрует, но когда маршрут на него не заворачивается тоннеля не видно в статистике.

Всё правильно. IPsec-туннель не получится проверить, если по нему не идёт трафик: трафика нет - SA не будут устанавливаться. Нужно направить, или сгенерировать трафик.

Сергей Роменский благодарю за ликбез👍🏻

Потому что консольный сервер помогает в редких случаях. Роутеры и фаерволы это сетеобразующее оборудование, и если мы ошибаемся в настройках при удаленной работе - это часто приводит к потере связи не только до устройства, но и до всего сегмента сети, в т.ч. и до консольного сервера. Reload in - самый надёжный способ.

Какой смысл держать роутер и консольный сервер в одном сегменте сети? Консольный сервер на то и стоит чтобы в случае падения канала или интерфейса через который осуществляется доступ можно было подключиться через резервный канал к железу и исправить косяки.

Правильно ли я понял, Вы предлагаете держать резервный канал только для консольного сервера и сегмента управления? Получается довольно расточительно для бюджета, если к примеру у вас несколько территориально разделённых площадок. Далеко не все могут позволить себе такую роскошь. Я бы лучше этот резервный канал для балансировки нагрузки с основным использовал. Да, консольный сервер - это удобно, но при грамотном плане изменения настроек и reload in, можно легко обойтись без него. В видео я говорил про то, что чтобы настройки гарантированно вбились, лучше их производить с компьютера из локального сегмента, предварительно подключившись к нему удалённо по RDP. Если же вам нужно поработать в ROMMON (что требуется крайне редко) - можно попросить местных администраторов, чтобы они на время подключили к оборудованию Ноутбук с консольным проводом и мобильным интернетом.

Сергей Роменский , в дополнение можно предложить держать запасной канал с оплатой только по трафику, нет трафика - нет затрат.