|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
ASA 5510, внешний адрес и VPN
Автор |
Сообщение |
contik
Зарегистрирован: 27 авг 2013, 12:15 Сообщения: 6
|
Добрый день!
Конфигурация такая: ASA-1: Внешний IP - 1.1.1.1 inside1 сеть 192.168.1.0
ASA-2 Внешний IP (пусть будет, хотя, наверное не важно) - 2.2.2.2 inside2 сеть 192.168.2.0
Между ASA-1 и ASA-2 поднят Site-to-Site VPN. из локалок все друг друга видят, пакеты ходят.
Подскажите пожалуйста, на сколько реально сделать это: Пока стояла задача пробросить внешний адрес от ASA-1 до внутренних ресурсов (типа публикация WEB, не важно в inside или dmz) - проблем не было. Затем WEB сервер уехал к под другую ASA-2, но надо сохранить его доступность по старому IP адресу от ASA-1.
Но пакеты с внешнего IP ASA-1 упорно у меня не заворачиваются в туннель к ASA-2. Я что-то упускаю? Пока без конфигов, просто интересует теоретическая возможность такой реализации. Интернет перечитал - ничего не могу найти =(
Спасибо!
|
14 июн 2018, 08:10 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
На приеме у венеролога: - Понимаете доктор у моего друга тут такая проблема... Ну он недавно познакомился с девушкой.. - Ладно снимайте штаны и показывайте своего друга!!! (c) 1. Да, можно, нужно настроить маршрутизацию. 2. Милафон сломался, экстрасенсы в отпуске. Без схемы и конфигов, далеко не уедите.
|
14 июн 2018, 08:59 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
На ISR такое как два пальца обоссать, а на ASA пыль глотать зае... Короче - никак.
|
14 июн 2018, 09:08 |
|
|
contik
Зарегистрирован: 27 авг 2013, 12:15 Сообщения: 6
|
Цитата: ... про венеролога... А я и не говорю, что друг болеет =) это я сам болею, вот и прошу лечения для себя =) Вот конфиг первой АСЫ. Пока ковырялся - смог сделать так, чтобы пинги на внешний IP дошли через туннель до ASA2. На радостях перегрузил ASA1 для проверки, разумеется не сохранив, в итоге все потерял =( Теперь как ни стараюсь сделать, чтобы ASA2 хоть что-то увидела от ASA1 - так ничего не могу сделать. Как я понимаю, надо в криптомапе указать, что-то типа: access-list out2-m_cryptomap_2 line 1 extended permit ip any host 192.168.79.52 чтобы ASA1 понимала, что надо заворачивать трафик на 192.168.79.52, но это не дает никакого результата =( Код: hostname ASA1 ! interface Ethernet0/1 nameif out2-m security-level 0 ip address {asa1-main-ip} 255.255.255.0 ! interface Ethernet0/3 nameif inside security-level 100 ip address 192.168.77.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! dns domain-lookup out2-m dns domain-lookup inside
same-security-traffic permit inter-interface same-security-traffic permit intra-interface
object network net192.168.77 subnet 192.168.77.0 255.255.255.0 description PAT inside <-> outside
object network net192.168.79 subnet 192.168.79.0 255.255.255.0 description Second local ASA2
object network host-tst host 192.168.79.52 description Test local Host on ASA2
object network new.host host {White-ip-address} ; Прямой IP ASA-1, который надо прокинуть сквозь VPN до 192.168.79.52
object-group network DM_INLINE_NETWORK_1 network-object 192.168.77.0 255.255.255.0 network-object object net192.168.79
object-group network DM_INLINE_NETWORK_4 network-object 192.168.77.0 255.255.255.0
object-group network DM_INLINE_NETWORK_9 network-object object new.host network-object object host-tst
access-list out2-m_access_in extended permit ip any object-group DM_INLINE_NETWORK_9 access-list out2-m_access_in extended permit icmp any 192.168.77.0 255.255.255.0 time-exceeded access-list out2-m_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_4 object net192.168.79
arp permit-nonconnected nat (inside,any) source static net192.168.77 net192.168.77 destination static net192.168.79 net192.168.79 no-proxy-arp route-lookup ! object network net192.168.77 nat (inside,out2-m) dynamic interface
object network host-tst nat (out2-m,out2-m) static new.host access-group out2-m_access_in in interface out2-m route out2-m 0.0.0.0 0.0.0.0 {IP_Providers_gateway} 5
dynamic-access-policy-record DfltAccessPolicy crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport crypto ipsec ikev2 ipsec-proposal DES protocol esp encryption des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal 3DES protocol esp encryption 3des protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES protocol esp encryption aes protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES192 protocol esp encryption aes-192 protocol esp integrity sha-1 md5 crypto ipsec ikev2 ipsec-proposal AES256 protocol esp encryption aes-256 protocol esp integrity sha-1 md5 crypto ipsec security-association pmtu-aging infinite crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set pfs crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set ikev1 transform-set ESP-AES-256-SHA crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set ikev2 ipsec-proposal AES256 crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES crypto map out2-m_map 3 match address out2-m_cryptomap_2 crypto map out2-m_map 3 set pfs crypto map out2-m_map 3 set peer {ip-address-ASA2} crypto map out2-m_map 3 set ikev2 ipsec-proposal AES256 crypto map out2-m_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP crypto map out2-m_map interface out2-m
crypto isakmp identity address crypto isakmp disconnect-notify crypto ikev2 policy 1 encryption aes-256 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 10 encryption aes-192 integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 20 encryption aes integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 30 encryption 3des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 policy 40 encryption des integrity sha group 5 2 prf sha lifetime seconds 86400 crypto ikev2 enable out2-m client-services port 443 crypto ikev2 remote-access trustpoint ASDM_TrustPoint0 crypto ikev1 enable out2-m crypto ikev1 policy 30 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto ikev1 policy 120 authentication pre-share encryption 3des hash sha group 2 lifetime 86400
management-access inside ! threat-detection basic-threat threat-detection statistics host number-of-rate 3 threat-detection statistics port threat-detection statistics protocol threat-detection statistics access-list threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200 ssl trust-point ASDM_TrustPoint0 out2-m group-policy DfltGrpPolicy attributes vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client group-policy GrPolicy_VPN_Tunnels internal group-policy GrPolicy_VPN_Tunnels attributes vpn-tunnel-protocol ikev2 group-policy GroupPolicy2 internal group-policy GroupPolicy2 attributes vpn-tunnel-protocol ikev2 tunnel-group DefaultL2LGroup ipsec-attributes ikev1 pre-shared-key ***** ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** tunnel-group {ip-address-ASA2} type ipsec-l2l tunnel-group {ip-address-ASA2} general-attributes default-group-policy GrPolicy_VPN_Tunnels tunnel-group {ip-address-ASA2} ipsec-attributes ikev2 remote-authentication pre-shared-key ***** ikev2 local-authentication pre-shared-key ***** ! class-map global-class match default-inspection-traffic class-map inspection_default match default-inspection-traffic
|
14 июн 2018, 12:29 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
contik писал(а): Как я понимаю, надо в криптомапе указать, что-то типа: access-list out2-m_cryptomap_2 line 1 extended permit ip any host 192.168.79.52 а еще надо nat донастроить тогда, а потом еще аса2 настроить.
|
14 июн 2018, 13:18 |
|
|
contik
Зарегистрирован: 27 авг 2013, 12:15 Сообщения: 6
|
так, а с натом вот такое делаем?
nat (out2-m,out2-m) source static any any destination static host-tst host-tst no-proxy-arp
Про ASA2 пока молчу, т.к. до нее еще ничего не дошло из пакетов.
|
14 июн 2018, 13:41 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
А этот лист out2-m_access_in куда повесили?
|
14 июн 2018, 13:55 |
|
|
contik
Зарегистрирован: 27 авг 2013, 12:15 Сообщения: 6
|
так вот же он:
access-group out2-m_access_in in interface out2-m
|
14 июн 2018, 14:27 |
|
|
contik
Зарегистрирован: 27 авг 2013, 12:15 Сообщения: 6
|
Итак, резюмирую свою проблему. Кажется решение нашел, вопрос, на сколько оно грамотно? на ASA1 К изначальной конфигурации необходимо было добавить access-list out2-m_cryptomap extended permit ip any4 object host-tst
чтобы все пакеты для host-tst отлавливались криптомапой и направлялись в туннель. Почему у меня так долго не получалось - потому что я делал через ASDM в панеле Crypto Maps. А надо было через Advanced -> ACL Manager. Как только сделал через него, сразу понял, что в первом случае правило не попадало в нужную криптомапу =(
На ASA2 добавил следующие правила: access-list outside_cryptomap_1 extended permit ip object ip-52-from-ASA1 any4 и в NAT следующее правило: nat (any,any) source static any any destination static ip-test ip-test no-proxy-arp
Есть подозрение, что слишком много всего открыл, особенно на ASA2. Если есть комментарии, буду рад услышать!
Спасибо!
|
14 июн 2018, 16:38 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google Adsense [Bot] и гости: 31 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|