hi, bạn ko cung cấp chi tiết cho mình bít là bạn đứng từ host nằm trên interface nào để thực hiện lệnh ping?
bạn hãy bỏ câu lệnh "nat (inside) 0 access-list inside_nat0_outbound" và thử lại xem sao?
chúc bạn thành công

Minh ping tu host o inside toi host o dmz duoc, nhung ko truy cap duoc http hay ftp.

access-list inside_nat0_outbound chi mang y nghia la ko nat tai interface outside, neu minh bo access-list nay thi tu host o inside khong ping duoc toi host o dmz.

bạn thay câu lệnh "nat (inside) 0 access-list inside_nat0_outbound" bằng câu lênh "static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0 " nếu như bạn ko mún thực hiện nat từ inside đến dmz và ngược lại

minh thuc hien theo canh cua ban cung van chi co the ping duoc tu host inside toi dmz thoi ban, ko truy cap duoc http, ftp.

Mot dieu la minh tu outside co the ping va truy cap duoc http, ftp host trong dmz.

bạn evn cấu hình thiếu phần NAT từ inside ra DMZ, hoặc cấu hình bạn đưa lên forum bị thiếu.

Có thể thêm vào vài dòng như:

cách 1:

global (dmz) 1 192.1.1.2

hoặc

static (inside, dmz) 192.1.1.0

cấu hình của bạn đã cấu hình permit ip any any từ outside và DMZ thì ai ở ngoài cũng có thể vô mạng của bạn được.bạn hãy cung cấp chi tiết về sơ đồ mạng của bạn thế nào, cấu hình đầy đủ nữa

Day la day du cau hinh cua minh, minh cung thay kho hieu la chi co the ping duoc tu inside vao dmz nhung ko dung duoc http, fpt tu inside vao dmz.

Ngay ca khi quay vpn ipsec qua Internet vao thi 1 so may tinh ping va truy cap duoc cac host trong inside, 1 so may tinh lai ko duoc.


!
interface Ethernet0
nameif outside
security-level 0
ip address 203.1.1.2 255.255.255.252
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Ethernet2
nameif dmz
security-level 50
ip address 192.1.1.1 255.255.255.248
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_access_in extended permit ip any any
access-list outside_access_in extended permit icmp any any
access-list inside_nat0_outbound extended permit ip any 10.1.2.0 255.255.255.0

access-list Group_splitTunnelAcl standard permit any
access-list acl_dmz extended permit ip any any
access-list acl_dmz extended permit icmp any any
access-list acl_inside extended permit ip any any
access-list acl_inside extended permit icmp any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip local pool Pool1 10.1.2.2-10.1.2.254 mask 255.255.255.0
icmp permit any outside
icmp permit any inside
icmp permit any dmz
asdm image flash:/asdm
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.0.0.0 255.0.0.0
static (inside,outside) tcp interface 3389 10.1.1.10 3389 netmask 255.255.255.
255
static (inside,outside) tcp interface ftp 10.1.1.10 ftp netmask 255.255.255.25
5
static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
static (dmz,inside) 192.1.1.0 192.1.1.0 netmask 255.255.255.248
access-group outside_access_in in interface outside
access-group acl_inside in interface inside
access-group acl_dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 203.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
group-policy group1 internal
group-policy group1 attributes
split-tunnel-policy tunnelspecified
split-tunnel-network-list value Group_splitTunnelAcl
username test1 password Np26EZUBZBU827Wq encrypted privilege 15
username test1 attributes
vpn-group-policy group1
username test2 password oKcj.jM38fr.FkYp encrypted privilege 15
http server enable
http 10.0.0.0 255.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption 3des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
tunnel-group group1 type ipsec-ra
tunnel-group group1 general-attributes
address-pool Pool1
default-group-policy group1
tunnel-group group1 ipsec-attributes
pre-shared-key *
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
management-access outside
dhcpd address 10.1.1.100-10.1.1.200 inside
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable inside
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:750ca61af065452e6a5264378d12e3d7
: end

---bạn chưa gõ câu lệnh "nat-control" .
---2 câu lệnh:
"static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
static (dmz,inside) 192.1.1.0 192.1.1.0 netmask 255.255.255.248"
bạn chỉ cần sử dụng 1 câu lênh là có tác dụng 2 chiều rồi. bỏ 1 câu lệnh ko cần thiết đi bạn
---bạn hãy dùng 1 máy tính cắm trực tiếp vào cổng inside của PIX và truy cập ftp,http lại xem,bít đâu mang inside bạn đang có vấn đề

thanks ban, minh nghi chac do topology inside cua minh co van de, tuy nhien cho minh hoi y nghia cua nat-control la gi the ?

Có "nat-control" thì mới thực hiện NAT đc!

hi, mình sẽ giải thix cho bạn hiểu theo 2 trường hợp:
trường hợp 1: nat-control is disabled thì tất cả traffic đi từ vùng có level cao đến vùng có level thấp hơn sẽ không thực hiện NAT và traffic từ từ vùng có level thấp hơn đến vùng có level cao hơn chỉ bắt buộc phải được cho phép bởi ACCESS-LIST,ko bắt buộc phải có NAT

trường hợp 2: nat-control is enable thì tất cả traffic đi từ vùng có level cao đến vùng có level thấp hơn phải nằm trong điều kiện của 2 câu lệnh (nat command tương ứng với câu lênh Global, static) hoặc drop hết traffic. traffic đi từ vùng level thấp sang level cao hơn cũng bắt buộc NAT và phải được cho phép bởi access-list

theo như trên trang Cisco thì mình hiểu thế này kô biết đúng không:

Truong hop 1: nat-control is disabled thi cho phép traffic từ host inside (level cao) toi host outside (level thap) mà không cần cấu hình nat. Chỉ có những host cần nat mới thực hiện nat rule mà thôi.

Trường hợp 2: nat-control is enabled thì mọi traffic từ host inside (level cao) tới được host outside (level thấp) phải thực hiện nat rule.

Do vậy, khi bật nat-control thi từ outside mình kô vào được dmz vì mình kô cấu hình nat rule. Trong cấu hình của mình, mình có thực hiện nat (inside) 0 để phục vụ no nat cho dải ip của vpn client và mình có đưa thêm dai ip dmz vao cùng access-rule này -> kết quả: vẫn có thể ping từ inside vào dmz mà kô cần cấu hình static (inside, dmz)