2 Subnets mellan 2 Brandväggar

Hur sitter de ihopkopplade? Ciscon är nog lite snällare med trafik och du skapar en direktroute till det andra nätet, men Clavistern kommer att vägra om du inte använder FwdFast-regler eller NAT beroende på hur du satt upp.

Är de alltså anslutna på samma LAN, så du vill ge Clavistern ett IP på Ciscon lan-nät och tvärtom?

Jag är för övrigt ingen expert på Cisco trots att jag har konfigurerat om ett par. På Clavister är jag däremot riktigt vass.

Du behöver ingen switch. Koppla dom direkt, använd en /30 på interfacer och routa trafiken. Kom ihåg att tillåta trafiken också.
ASA är ganska straightforward, Clavisteren är jag mindre säker på, men ni verkar ha bra koll

Jo, precis som han säger kan du bara plocka ett nät och använda som routingnät om du har ett interface per brandvägg "över". Det är klart lättast. Konfigurationen blir bra precis som i fallet VPN. Är det på DMZ på clavister så kan du exempelvis använda 10.10.10.1 på den och 10.10.10.2 på cisco.
Sedan sätter du i routingen i Clavister.
iface net gateway
dmz 10.10.10.0/30
dmz 172.16.50.0/24 10.10.10.2

Sedan är det ALLOW som gäller regelmässigt då du lika gärna kan behålla "korrekta" IP adresser.

Personligen tycker jag att ASA är konstig i Ciscos sortiment. Man är världsledande på routrar och switchar, men på brandväggar har man en bastard mest för att man behöver en. Den är inte riktigt värdigt tillverkaren Cisco på något sätt. Den känns mer Zyxel/Netgear/DLink, typ...

Jag skulle ta ett interface på SG50:an (antigen aux eller dmz) och sätta ett fast IP i 172.16.50.0/24 nätet sen lägga till en statisk route för 172.16.50.0/24 i clavven som går ut på det interface du valde. Skapa sen två allow-regler som tillåter trafik till och från näten.
Det enda du behöver göra i ciscon är att skapa en route för 192.168.1.0/24 som pekar mot det IP:t du satte på Clavven och två regler som tillåter trafik fram och tillbaka.

Har gjort detta innan och nästan alltid så är det licensproblem på ASA:an som inte tillåter fler än två interface (outside och inside).
Hoppas det lirar för dig!

Visst ja. Ciscon "state-trackar" inte de förbindelserna så du slipper Fwdfast i Clavistern. Hade det varit två Clavister så kan man inte ha Allow i bägge i det där fallet, men nu med Cisco så är det där en bra lösning. Ciscon kommer nämligen inte att se bägge riktningarna av kommunikationen då den bara ser utgående trafik från 172.26.50.0/24.

Visst ja. Fick ha det trådlösa gästnätet på ett extra interface (vlan) på Ciscon en gång och då var det något licenstjafs så det fick bara prata med antingen external eller internal.

Om du pingar något från din klient i 172.16.50.0/24 nätet mot 192.168.1.0/24 och samtidigt går in i Clavven antigen via webiu eller via ssh (beroende på vilken version du har, allt över 9.X har webui) och kollar loggen och sorterar på allt som ska mot det IP:t du pingar mot så kan du ju se ifall trafiken kommer fram eller inte från ciscon.
Tyvärr kommer jag inte ihåg nu hur man visar när en viss regel slår men du kan iaf se connections som försöker komma in: "connections -show -destip=192.168.1.x".
Sen kan du ju även testa i CLI:t och se om reglerna finns ordentligt. "ping 192.168.1.x -srcip=172.16.50.5 -srcif="Namn på Interfacet som tar emot trafiken" -tcp -port=80 -v" Om du har en version under eller omkring version 9.2 så ska de stå "recif" istället för "srcif".

Kort fråga: Kör du via CLI eller ASDM?
Via CLI:t borde routen på ciscon se ut typ så här: route inside 192.168.1.0 255.255.255.0 172.16.50.X 1 (X=Clavve IP).
Sen skapar du en ACL (till en början kan du ju skapa en väldigt öppen en som tillåter allt).

Om det är så att du har licens kvar på Clavven så kan du ringa till deras helpdesk så kan de hjälpa dig (skriv "licens" i CLI:t på clavven).

Hmm okej. Så då funkar det från clavistern till ciscon men inte tvärtom.
Är ju inte heller så förtjust i asa alls och tycker de har lite konstiga definitioner på saker och ting.
Så testa och skapa en likadan regel (som nr 3) fast i "outside"- delen i access rules.
Sen kan du även testa och disabla den där "any any ip deny" regeln (nr 4) under tiden du testar dig fram.