Добрый день. Есть проблема, подскажите чего не так делаю?

ASA 5510 8.3(1)
Нужно пробросить порт smtp до exchange

Вводные:
interface Ethernet0/0
nameif outside
security-level 0
ip address 194.x.x.x 255.255.255.240
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0

Exchange 192.168.0.2

Пишу:
access-list outside_access_in extended permit tcp any host 192.168.0.2 eq smtp
object network smtp-serv
host 192.168.0.2
nat (inside,outside) static interface service tcp smtp smtp

Запускаю пакетик:
packet-tracer input outside tcp 8.8.8.8 25 192.168.0.2 25

Ответ:
Phase: 6
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
object network smtp-serv
nat (inside,outside) static interface service tcp smtp smtp
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Чего не так то?

Попробуйте правильно запустить пакет-трейсер, указав внешний айпи, а не внутренний

Запускаю пакетик:
packet-tracer input outside tcp 62.213.78.22 25 192.168.0.2 25

Ответ тот же:
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

Имеется ввиду:
packet-tracer input outside tcp 8.8.8.8 25 194.6.222.ххх 25

А acl outside_access_in не забыли применить к интерфейсу?

строка присутствует
access-group outside_access_in in interface outside

запустили пакетик и он прошел. В чем тогда проблема?

Ну так до 192.168.0.2(Exchange) не долетает...не пробрасывается...не доходит ...
Прям аказия какая-то ...

Отключите inspect smtp

Нет ли еще в конфиге ната подобного следующему?

Ну как бы напрямую в конфиге его нет, но я так понимаю, что если он и есть, то только вот тут: class-map inspection_default а как его от туда убрать? (наверно никак)
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect pptp
inspect icmp

Строчки нет ...

"access-list outside_access_in extended permit tcp any host 192.168.0.2 eq smtp"
Если после праздников не туплю, то тут надо вместо 192.168.0.2 писать внешний адрес вашего почтового сервера.

Кстати если пробрасывать порт например 5555 то пакетик до 192.168.0.2 тоже не доходит ...

ASA все пропускает, как показано в вашем выводе. Может у вас проблема в другом месте сети?

А проверяете доступность сервиса случаем не из-за inside интерфейса ASA к outside?

В данном случае сеть смоделирована. Физически это 2-е железки. ASA с 2-умя интерфейсами outside 194.x.x.x.x inside 192.168.0.1 и комп 192.168.0.2 с мониторингом Ethernet порта. Никаких Фаерволов и Антивирусных программ у этого компа нет ... добился я только одного, что до ASA outside и до ASA inside пакеты из интернета могут доходить, но на 192.168.0.2 ... увы

сделайте для 192.168.0.2 еще динамический нат.

Действительно, инспекта нет.
Выделите для Exchange отдельный ext IP. Сделайте static NAT (IP-to-IP). Ексес-лист уже разрешает хождение 25 tcp.
Как-то так:

Поймаете двух зайцев.

Господа! Всех от души благодарю! Все заработало! Правда я так и не понял в чем была беда ... в кратце скажу ... откатился на 8.2.5/конфиг по дефолту/ прописал все заново = Работает! Опять вернулся на 8.3.1/конфиг по дефолту/ прописал все заново = Работает!
Наверно где-то какая-то гадость оставалась ...

Единственное хочу спросить (может не по теме, просьба не рубить) в итоге какой IOS лучше всего поставить? может поставить что-то более позднее?