Anticisco http://anticisco.ru/forum/ |
|
ASA 5510, внешний адрес и VPN http://anticisco.ru/forum/viewtopic.php?f=2&t=10532 |
Страница 1 из 1 |
Автор: | contik [ 14 июн 2018, 08:10 ] |
Заголовок сообщения: | ASA 5510, внешний адрес и VPN |
Добрый день! Конфигурация такая: ASA-1: Внешний IP - 1.1.1.1 inside1 сеть 192.168.1.0 ASA-2 Внешний IP (пусть будет, хотя, наверное не важно) - 2.2.2.2 inside2 сеть 192.168.2.0 Между ASA-1 и ASA-2 поднят Site-to-Site VPN. из локалок все друг друга видят, пакеты ходят. Подскажите пожалуйста, на сколько реально сделать это: Пока стояла задача пробросить внешний адрес от ASA-1 до внутренних ресурсов (типа публикация WEB, не важно в inside или dmz) - проблем не было. Затем WEB сервер уехал к под другую ASA-2, но надо сохранить его доступность по старому IP адресу от ASA-1. Но пакеты с внешнего IP ASA-1 упорно у меня не заворачиваются в туннель к ASA-2. Я что-то упускаю? Пока без конфигов, просто интересует теоретическая возможность такой реализации. Интернет перечитал - ничего не могу найти =( Спасибо! |
Автор: | AlexSashkaff [ 14 июн 2018, 08:59 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
На приеме у венеролога: - Понимаете доктор у моего друга тут такая проблема... Ну он недавно познакомился с девушкой.. - Ладно снимайте штаны и показывайте своего друга!!! (c) 1. Да, можно, нужно настроить маршрутизацию. 2. Милафон сломался, экстрасенсы в отпуске. Без схемы и конфигов, далеко не уедите. |
Автор: | _2e_ [ 14 июн 2018, 09:08 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
На ISR такое как два пальца обоссать, а на ASA пыль глотать зае... Короче - никак. |
Автор: | contik [ 14 июн 2018, 12:29 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
Цитата: ... про венеролога... А я и не говорю, что друг болеет =) это я сам болею, вот и прошу лечения для себя =) Вот конфиг первой АСЫ. Пока ковырялся - смог сделать так, чтобы пинги на внешний IP дошли через туннель до ASA2. На радостях перегрузил ASA1 для проверки, разумеется не сохранив, в итоге все потерял =( Теперь как ни стараюсь сделать, чтобы ASA2 хоть что-то увидела от ASA1 - так ничего не могу сделать. Как я понимаю, надо в криптомапе указать, что-то типа: access-list out2-m_cryptomap_2 line 1 extended permit ip any host 192.168.79.52 чтобы ASA1 понимала, что надо заворачивать трафик на 192.168.79.52, но это не дает никакого результата =( Код: hostname ASA1 ! interface Ethernet0/1 nameif out2-m security-level 0 ip address {asa1-main-ip} 255.255.255.0 ! interface Ethernet0/3 nameif inside security-level 100 ip address 192.168.77.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! dns domain-lookup out2-m dns domain-lookup inside same-security-traffic permit inter-interface same-security-traffic permit intra-interface object network net192.168.77 subnet 192.168.77.0 255.255.255.0 description PAT inside <-> outside object network net192.168.79 subnet 192.168.79.0 255.255.255.0 description Second local ASA2 object network host-tst host 192.168.79.52 description Test local Host on ASA2 object network new.host host {White-ip-address} ; Прямой IP ASA-1, который надо прокинуть сквозь VPN до 192.168.79.52 object-group network DM_INLINE_NETWORK_1 network-object 192.168.77.0 255.255.255.0 network-object object net192.168.79 object-group network DM_INLINE_NETWORK_4 network-object 192.168.77.0 255.255.255.0 object-group network DM_INLINE_NETWORK_9 network-object object new.host network-object object host-tst access-list out2-m_access_in extended permit ip any object-group DM_INLINE_NETWORK_9 access-list out2-m_access_in extended permit icmp any 192.168.77.0 255.255.255.0 time-exceeded access-list out2-m_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_4 object net192.168.79 arp permit-nonconnected nat (inside,any) source static net192.168.77 net192.168.77 destination static net192.168.79 net192.168.79 no-proxy-arp route-lookup ! object network net192.168.77 nat (inside,out2-m) dynamic interface object network host-tst nat (out2-m,out2-m) static new.host access-group out2-m_access_in in interface out2-m route out2-m 0.0.0.0 0.0.0.0 {IP_Providers_gateway} 5 dynamic-access-policy-record DfltAccessPolicy crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto ipsec security-association pmtu-aging infinite crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set ikev1 transform-set ESP-AES-256-SHA crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set ikev2 ipsec-proposal AES256 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map out2-m_map 3 match address out2-m_cryptomap_2 crypto map out2-m_map 3 set pfs crypto map out2-m_map 3 set peer {ip-address-ASA2} crypto map out2-m_map 3 set ikev2 ipsec-proposal AES256 crypto map out2-m_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map out2-m_map interface out2-m crypto isakmp identity address crypto isakmp disconnect-notify crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 enable out2-m client-services port 443 crypto ikev2 remote-access trustpoint ASDM_TrustPoint0 crypto ikev1 enable out2-m crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 management-access inside ! threat-detection basic-threat threat-detection statistics host number-of-rate 3 threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 ssl trust-point ASDM_TrustPoint0 out2-m group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client group-policy GrPolicy_VPN_Tunnels internal group-policy GrPolicy_VPN_Tunnels attributes vpn-tunnel-protocol ikev2 group-policy GroupPolicy2 internal group-policy GroupPolicy2 attributes vpn-tunnel-protocol ikev2 tunnel-group DefaultL2LGroup ipsec-attributes ikev1 pre-shared-key ***** ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** tunnel-group {ip-address-ASA2} type ipsec-l2l tunnel-group {ip-address-ASA2} general-attributes default-group-policy GrPolicy_VPN_Tunnels tunnel-group {ip-address-ASA2} ipsec-attributes ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** ! class-map global-class match default-inspection-traffic class-map inspection_default match default-inspection-traffic |
Автор: | crash [ 14 июн 2018, 13:18 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
contik писал(а): Как я понимаю, надо в криптомапе указать, что-то типа: access-list out2-m_cryptomap_2 line 1 extended permit ip any host 192.168.79.52 |
Автор: | contik [ 14 июн 2018, 13:41 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
так, а с натом вот такое делаем? nat (out2-m,out2-m) source static any any destination static host-tst host-tst no-proxy-arp Про ASA2 пока молчу, т.к. до нее еще ничего не дошло из пакетов. |
Автор: | crash [ 14 июн 2018, 13:55 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
А этот лист out2-m_access_in куда повесили? |
Автор: | contik [ 14 июн 2018, 14:27 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
так вот же он: access-group out2-m_access_in in interface out2-m |
Автор: | contik [ 14 июн 2018, 16:38 ] |
Заголовок сообщения: | Re: ASA 5510, внешний адрес и VPN |
Итак, резюмирую свою проблему. Кажется решение нашел, вопрос, на сколько оно грамотно? на ASA1 К изначальной конфигурации необходимо было добавить access-list out2-m_cryptomap extended permit ip any4 object host-tst чтобы все пакеты для host-tst отлавливались криптомапой и направлялись в туннель. Почему у меня так долго не получалось - потому что я делал через ASDM в панеле Crypto Maps. А надо было через Advanced -> ACL Manager. Как только сделал через него, сразу понял, что в первом случае правило не попадало в нужную криптомапу =( На ASA2 добавил следующие правила: access-list outside_cryptomap_1 extended permit ip object ip-52-from-ASA1 any4 и в NAT следующее правило: nat (any,any) source static any any destination static ip-test ip-test no-proxy-arp Есть подозрение, что слишком много всего открыл, особенно на ASA2. Если есть комментарии, буду рад услышать! Спасибо! |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |