Сообщения без ответов | Активные темы Текущее время: 24 июл 2019, 01:17



Ответить на тему  [ Сообщений: 7 ] 
Две asa5505, четыре провайдера и site-to-site ikev2 
Автор Сообщение

Зарегистрирован: 08 окт 2018, 11:02
Сообщения: 5
Добрый день!

Пожалуйста, помогите разобраться с настройкой site-to-site vpn.

Есть 2 филиала, в каждом из которых по 2 провайдера и настроена отказоустойчивость с помощью sla.
Настройка site-to-site vpn сделана с использованием ikev2.
Как известно ikev2 не поддерживает указание нескольких пиров в "crypto map"
Поэтому второй пир добавлен через в ту же "crypto map", но с другим номером.
ASA1
Код:
crypto map outside 1 match address l2l_list
crypto map outside 1 set peer 1.1.1.1
crypto map outside 1 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside 2 match address l2l_list
crypto map outside 2 set peer 2.2.2.2
crypto map outside 2 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside interface outside

ASA2
Код:
crypto map outside 1 match address l2l_list
crypto map outside 1 set peer 3.3.3.3
crypto map outside 1 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside 2 match address l2l_list
crypto map outside 2 set peer 4.4.4.4
crypto map outside 2 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside interface outside


Пока интернет на точках идёт через основного провайдера, всё работает нормально, но как только происходит переключение на резерв, возникают проблемы.
К примеру, отваливается провайдер 1.1.1.1 и по логике туннель до него должен быть убит и поднят 2.2.2.2, но туннель либо не поднимается вообще либо висят оба туннеля, в результате чего трафик между филиалами не ходит потому что asa пытается направить трафик через нерабочий линк.
При чём даже если вручную убить туннель через пира 1.1.1.1, то он поднимается сам, хотя пир не пингуется. При чём инициатором соединения может выступать как asa1 так и asa2.
Подозреваю что дело может быть в списке сетей l2l_list
Код:
access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET
, но я пробовал создать другой аццес лист с теми же подсетями, и прописать его в "crypto map outside 2 match address l2l_list2", но это ничего не изменило.

Конечно можно было бы вернутся на ikev1, как советует поддержка cisco, и прописать двух пиров в одной криптокарте, но как-то не хочется переходить на ikev1.
Либо сделать настройку динамического туннеля, но в сети есть мануалы когда с одной стороны статический IP, а с другой динамический. У меня же ситуация немного иная - с обоих сторон есть 2 белых статических IP. Как настроить их корректную работу мне не совсем понятно.

Прошу помощи гуру.


15 май 2019, 10:02
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 683
Просто на этом железе у вас не получится ничего сделать - очень старый софт на них и выше 9.2.4 вы не прыгните... для реализации ваших хотелок нужны хотя бы 9.9.2 - 9.12


15 май 2019, 10:09
Профиль Отправить email

Зарегистрирован: 08 окт 2018, 11:02
Сообщения: 5
Не думаю что мои хотелки слишком уж экзотические.
Плюс добавлю, оно работает, но немного криво.
Вот выпрямить эту кривизну мне и хочется.


15 май 2019, 10:17
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 683
для этой железки это экзотика - на ней в принципе не должно быть ikev2, и данный ikev2 здесь не будет до конца внедрён, т.к. железка EOL


15 май 2019, 10:24
Профиль Отправить email

Зарегистрирован: 08 окт 2018, 11:02
Сообщения: 5
Т.е. он как бы есть, а как бы и нет ?
Значит вернуться на ikev1 и не выносить никому мозг своими хотелками ?


15 май 2019, 12:06
Профиль Отправить email

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 683
в базовом варианте есть здесь ikev2 - или возвращайтесь на ikev1 или ставьте железо по-новей....


15 май 2019, 12:18
Профиль Отправить email

Зарегистрирован: 08 окт 2018, 11:02
Сообщения: 5
Ну хорошо, придётся вернутся на ikev1.
А как быть с дублирующимися туннелями, когда один туннель инициирует ASA1, а второй ASA2 и оба висят? При этом каждая из ASA пытается передавать трафик через туннель, инициатором которого она является.


16 май 2019, 14:09
Профиль Отправить email
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB