Сообщения без ответов | Активные темы Текущее время: 22 июн 2018, 22:04



Ответить на тему  [ Сообщений: 9 ] 
ASA 5510, внешний адрес и VPN 
Автор Сообщение

Зарегистрирован: 27 авг 2013, 12:15
Сообщения: 6
Добрый день!

Конфигурация такая:
ASA-1:
Внешний IP - 1.1.1.1
inside1 сеть 192.168.1.0

ASA-2
Внешний IP (пусть будет, хотя, наверное не важно) - 2.2.2.2
inside2 сеть 192.168.2.0

Между ASA-1 и ASA-2 поднят Site-to-Site VPN.
из локалок все друг друга видят, пакеты ходят.

Подскажите пожалуйста, на сколько реально сделать это:
Пока стояла задача пробросить внешний адрес от ASA-1 до внутренних ресурсов (типа публикация WEB, не важно в inside или dmz) - проблем не было.
Затем WEB сервер уехал к под другую ASA-2, но надо сохранить его доступность по старому IP адресу от ASA-1.

Но пакеты с внешнего IP ASA-1 упорно у меня не заворачиваются в туннель к ASA-2.
Я что-то упускаю?
Пока без конфигов, просто интересует теоретическая возможность такой реализации. Интернет перечитал - ничего не могу найти =(

Спасибо!


14 июн 2018, 08:10
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 628
На приеме у венеролога:
- Понимаете доктор у моего друга тут такая проблема... Ну он
недавно познакомился с девушкой..
- Ладно снимайте штаны и показывайте своего друга!!!
(c)
1. Да, можно, нужно настроить маршрутизацию.
2. Милафон сломался, экстрасенсы в отпуске. Без схемы и конфигов, далеко не уедите.


14 июн 2018, 08:59
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1881
Откуда: Волгоград
На ISR такое как два пальца обоссать, а на ASA пыль глотать зае... Короче - никак.


14 июн 2018, 09:08
Профиль ICQ

Зарегистрирован: 27 авг 2013, 12:15
Сообщения: 6
Цитата:
... про венеролога...

А я и не говорю, что друг болеет =)
это я сам болею, вот и прошу лечения для себя =)

Вот конфиг первой АСЫ.
Пока ковырялся - смог сделать так, чтобы пинги на внешний IP дошли через туннель до ASA2. На радостях перегрузил ASA1 для проверки, разумеется не сохранив, в итоге все потерял =(
Теперь как ни стараюсь сделать, чтобы ASA2 хоть что-то увидела от ASA1 - так ничего не могу сделать.
Как я понимаю, надо в криптомапе указать, что-то типа:
access-list out2-m_cryptomap_2 line 1 extended permit ip any host 192.168.79.52

чтобы ASA1 понимала, что надо заворачивать трафик на 192.168.79.52, но это не дает никакого результата =(


Код:
hostname ASA1
!
interface Ethernet0/1
 nameif out2-m
 security-level 0
 ip address {asa1-main-ip} 255.255.255.0
!
interface Ethernet0/3
 nameif inside
 security-level 100
 ip address 192.168.77.1 255.255.255.0
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
dns domain-lookup out2-m
dns domain-lookup inside

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

object network net192.168.77
 subnet 192.168.77.0 255.255.255.0
 description PAT inside <-> outside

object network net192.168.79
 subnet 192.168.79.0 255.255.255.0
 description Second local ASA2

object network host-tst
 host 192.168.79.52
 description Test local Host on ASA2

object network new.host
 host {White-ip-address}   ; Прямой IP ASA-1, который надо прокинуть сквозь VPN до 192.168.79.52

object-group network DM_INLINE_NETWORK_1
 network-object 192.168.77.0 255.255.255.0
 network-object object net192.168.79

object-group network DM_INLINE_NETWORK_4
 network-object 192.168.77.0 255.255.255.0

object-group network DM_INLINE_NETWORK_9
 network-object object new.host
 network-object object host-tst

access-list out2-m_access_in extended permit ip any object-group DM_INLINE_NETWORK_9
access-list out2-m_access_in extended permit icmp any 192.168.77.0 255.255.255.0 time-exceeded
access-list out2-m_cryptomap_2 extended permit ip object-group DM_INLINE_NETWORK_4 object net192.168.79

arp permit-nonconnected
nat (inside,any) source static net192.168.77 net192.168.77 destination static net192.168.79 net192.168.79 no-proxy-arp route-lookup
!
object network net192.168.77
 nat (inside,out2-m) dynamic interface

object network host-tst
 nat (out2-m,out2-m) static new.host
access-group out2-m_access_in in interface out2-m
route out2-m 0.0.0.0 0.0.0.0 {IP_Providers_gateway} 5

dynamic-access-policy-record DfltAccessPolicy
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA-TRANS mode transport
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5-TRANS mode transport
crypto ipsec ikev2 ipsec-proposal DES
 protocol esp encryption des
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal 3DES
 protocol esp encryption 3des
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES
 protocol esp encryption aes
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES192
 protocol esp encryption aes-192
 protocol esp integrity sha-1 md5
crypto ipsec ikev2 ipsec-proposal AES256
 protocol esp encryption aes-256
 protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set pfs
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set ikev1 transform-set ESP-AES-256-SHA
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 6 set ikev2 ipsec-proposal AES256
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev2 ipsec-proposal AES256 AES192 AES 3DES DES
crypto map out2-m_map 3 match address out2-m_cryptomap_2
crypto map out2-m_map 3 set pfs
crypto map out2-m_map 3 set peer {ip-address-ASA2}
crypto map out2-m_map 3 set ikev2 ipsec-proposal AES256
crypto map out2-m_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map out2-m_map interface out2-m

crypto isakmp identity address
crypto isakmp disconnect-notify
crypto ikev2 policy 1
 encryption aes-256
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 10
 encryption aes-192
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 20
 encryption aes
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 30
 encryption 3des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 policy 40
 encryption des
 integrity sha
 group 5 2
 prf sha
 lifetime seconds 86400
crypto ikev2 enable out2-m client-services port 443
crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
crypto ikev1 enable out2-m
crypto ikev1 policy 30
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 120
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400

management-access inside
!
threat-detection basic-threat
threat-detection statistics host number-of-rate 3
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
ssl trust-point ASDM_TrustPoint0 out2-m
group-policy DfltGrpPolicy attributes
 vpn-tunnel-protocol ikev1 ikev2 l2tp-ipsec ssl-client
group-policy GrPolicy_VPN_Tunnels internal
group-policy GrPolicy_VPN_Tunnels attributes
 vpn-tunnel-protocol ikev2
group-policy GroupPolicy2 internal
group-policy GroupPolicy2 attributes
 vpn-tunnel-protocol ikev2
tunnel-group DefaultL2LGroup ipsec-attributes
 ikev1 pre-shared-key *****
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****
tunnel-group {ip-address-ASA2} type ipsec-l2l
tunnel-group {ip-address-ASA2} general-attributes
 default-group-policy GrPolicy_VPN_Tunnels
tunnel-group {ip-address-ASA2} ipsec-attributes
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****
!
class-map global-class
 match default-inspection-traffic
class-map inspection_default
 match default-inspection-traffic


14 июн 2018, 12:29
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2522
contik писал(а):
Как я понимаю, надо в криптомапе указать, что-то типа:
access-list out2-m_cryptomap_2 line 1 extended permit ip any host 192.168.79.52
а еще надо nat донастроить тогда, а потом еще аса2 настроить.


14 июн 2018, 13:18
Профиль

Зарегистрирован: 27 авг 2013, 12:15
Сообщения: 6
так, а с натом вот такое делаем?

nat (out2-m,out2-m) source static any any destination static host-tst host-tst no-proxy-arp

Про ASA2 пока молчу, т.к. до нее еще ничего не дошло из пакетов.


14 июн 2018, 13:41
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2522
А этот лист out2-m_access_in куда повесили?


14 июн 2018, 13:55
Профиль

Зарегистрирован: 27 авг 2013, 12:15
Сообщения: 6
так вот же он:

access-group out2-m_access_in in interface out2-m


14 июн 2018, 14:27
Профиль Отправить email

Зарегистрирован: 27 авг 2013, 12:15
Сообщения: 6
Итак, резюмирую свою проблему. Кажется решение нашел, вопрос, на сколько оно грамотно?
на ASA1
К изначальной конфигурации необходимо было добавить
access-list out2-m_cryptomap extended permit ip any4 object host-tst

чтобы все пакеты для host-tst отлавливались криптомапой и направлялись в туннель.
Почему у меня так долго не получалось - потому что я делал через ASDM в панеле Crypto Maps. А надо было через Advanced -> ACL Manager.
Как только сделал через него, сразу понял, что в первом случае правило не попадало в нужную криптомапу =(


На ASA2 добавил следующие правила:
access-list outside_cryptomap_1 extended permit ip object ip-52-from-ASA1 any4
и в NAT следующее правило:
nat (any,any) source static any any destination static ip-test ip-test no-proxy-arp

Есть подозрение, что слишком много всего открыл, особенно на ASA2.
Если есть комментарии, буду рад услышать!

Спасибо!


14 июн 2018, 16:38
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google Adsense [Bot] и гости: 15


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB