The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"ASA 5505 основной маршрут через site-2-site tunnel"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"ASA 5505 основной маршрут через site-2-site tunnel"  +/
Сообщение от Egenius email(ok) on 20-Июн-17, 08:34 
Добрый день!

Прошу помощи в проброске основного шлюза через удалённый офис по site-2-site tunnel.
Оборудование - ASA 5505, Version 8.4(7)31

Схема сети такова.

Основной офис имеет выход в интернет через двух провайдеров с настройкой резервирование через IP SLA. Плюс имеется оптика до второго офиса.
Сеть 192.168.1.0/24

Второй офис имеет выход в интернет через одного провайдера, а так-же связан по оптике с основным.
Сеть 192.168.2.0/24

Трафик между внутренними сетями идёт через шифрованный site-2-site tunnel по прямой оптике, а как резервные используются линки до провайдеров.

Необходимо чтобы у второго офиса был резервный канал в интернет через основной офис.

Вот часть текущего конфига.
---Основной офис---

object-group network LOCAL_NET
network-object 192.168.1.0 255.255.255.0
object-group network REMOTE_NET
network-object 192.168.2.0 255.255.255.0

access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET

nat (inside,outside) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,backup) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,tunnel) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,outside) after-auto source dynamic any interface
nat (inside,backup) after-auto source dynamic any interface

route outside 0.0.0.0 0.0.0.0 1.2.3.4 1 track 1
route tunnel 192.168.2.0 255.255.255.0 172.16.0.1 1 track 2
route backup 0.0.0.0 0.0.0.0 2.3.4.5 250

crypto ipsec ikev1 transform-set FirstSet esp-3des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption 3des des
protocol esp integrity md5
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 172.16.0.1 3.4.5.6
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface outside
crypto map abcmap interface backup
crypto map abcmap interface tunnel
crypto ikev2 policy 1
encryption 3des
integrity md5
group 2
prf md5
lifetime seconds 43200
crypto ikev2 enable outside
crypto ikev2 enable backup
crypto ikev2 enable tunnel
crypto ikev1 enable outside
crypto ikev1 enable backup
crypto ikev1 enable tunnel
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
tunnel-group 172.16.0.1 type ipsec-l2l
tunnel-group 172.16.0.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
tunnel-group 3.4.5.6 type ipsec-l2l
tunnel-group 3.4.5.6 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****

Во втором офисе конфиг идентичный, с небольшими отличиями по IP провайдеров и изменены iP локальной и удалённой сетей.

Что я пробовал и что не получилось.
Менял access  list l2l_list в основном офисе на

access-list l2l_list extended permit ip any object-group REMOTE_NET

.. и во втором на
access-list l2l_list extended permit ip object-group LOCAL_NET any

Дополнительно в основном офисе добавил nat

nat (tunnel,outside) after-auto source dynamic any interface
nat (tunnel,backup) after-auto source dynamic any interface

Маршрут по-умолчанию во втором офисе не добавлял т.к. сеть после сделанных изменений стала вести себя следующим образом.
Оборвалась связь через туннель между офисами. Затем пинг пошёл в обе стороны, но зайти в консоль на любые железки в удалённом офисе не было возможности - после ввода логина консоль отваливалась.
Пришлось вернуть все настройки в прежнее состояние на той циске до которой был доступ и работа сети восстановилась.

Прошу помочь найти ошибку в настройке, что я допустил.

Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ASA 5505 основной маршрут через site-2-site tunnel"  +/
Сообщение от Egenius email(ok) on 22-Июн-17, 13:42 
Неужели нет никого, кто сталкивался бы с подобной задачей ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ASA 5505 основной маршрут через site-2-site tunnel"  +/
Сообщение от crash (ok) on 23-Июн-17, 10:32 
> Неужели нет никого, кто сталкивался бы с подобной задачей ?

так если вы не добавляли маршрут по-умолчанию через первый офис, то как вы пойдете в инет через него?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ASA 5505 основной маршрут через site-2-site tunnel"  +/
Сообщение от Egenius email(ok) on 23-Июн-17, 11:16 
>> Неужели нет никого, кто сталкивался бы с подобной задачей ?
> так если вы не добавляли маршрут по-умолчанию через первый офис, то как
> вы пойдете в инет через него?

Я понимаю что добавить маршрут нужно и я его добавлю, но проблемы начинаются ещё до того как я добавляю маршрут. Ведь на момент настройки второй офис выходит в интернет через своего провайдера и по идее всё должно работать нормально до момента пока не изменён шлюз по-умолчанию.
Что-то не так в настройках аццес листов или NAT, но что именно я не могу понять.

В данный момент решил вопрос тем что добавил следующий маршрут во втором офисе

route 0 0 172.16.0.2 250

Это IP на оптическом линке со стороны главного офиса.

Так же в аццес листах для туннеля оставил только внутренние сети.

access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET

В главном офисе добавил NAT для трафика, идущего с тунельного интерфейса в мир

nat (tunnel,outside) after-auto source dynamic any interface
nat (tunnel,backup) after-auto source dynamic any interface

и разрешил сетям второго офиса выход в интернет.

Таким образом весь внешний трафик идёт по оптическому линку без шифрования, которое в принципе не нужно для внешнего трафика при условии что между офисами есть прямой линк.

Но, вопрос остаётся открытым.
Как реализовать такую же схему, если туннель между офисами поднят не по отдельному линку, а через сети провайдеров ?

В сети есть много мануалов как это сделать в конфигурации для  VPN Client (http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...), но как реализовать подобное для site-2-site VPN информации не нашёл.

[сообщение отредактировано модератором]

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ASA 5505 основной маршрут через site-2-site tunnel"  +/
Сообщение от Egenius email(ok) on 23-Июн-17, 13:24 
Приношу извинения за форматирование предыдущего сообщения.
Исправить уже нет возможности.

Ссылка из последнего абзаца с настройкой для VPN Client - http://www.cisco.com/c/en/us/support/docs/security/asa-5500-...

Подобного мануала для site-2-site VPN на просторах гугла не нашёл.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ASA 5505 основной маршрут через site-2-site tunnel"  +/
Сообщение от Mt on 23-Июн-17, 21:14 
> Маршрут по-умолчанию во втором офисе не добавлял т.к. сеть после сделанных изменений
> стала вести себя следующим образом.
> Оборвалась связь через туннель между офисами. Затем пинг пошёл в обе стороны,
> но зайти в консоль на любые железки в удалённом офисе не
> было возможности - после ввода логина консоль отваливалась.
> Пришлось вернуть все настройки в прежнее состояние на той циске до которой
> был доступ и работа сети восстановилась.

Reverse route injection

crypto dynamic-map outside_dyn_map 20 set reverse-route


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру