Сообщения без ответов | Активные темы Текущее время: 23 май 2022, 04:36



Ответить на тему  [ Сообщений: 10 ] 
Asa 5510 + два провайдера + IPSec 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 17
Добрый день,
Есть одна внутренняя сеть и один провайдер через которого поднят IPSec тоннель и весь трафик завернут через него. Все хорошо, все работает :)
Возник вопрос с резервированием внешнего канала и для этого подключили второго прова. Сразу посмотрел в сторону IP SLA, уже был опыт настройки и все работало. Хотел здесь поступить так же...
Тоннель через второго прова поднимать не нужно, а просто НАТить в него. И вот здесь возникла трабла. Для работы тоннеля у меня через первого провайдера прописан Exempt для всего трафика из внутренней сети. Соответственно, при падении основного канала, IP SLA отрабатывает, перестраивает маршруты, но трафик из внутренней сети не НАТится так как попадает под Exempt sad.gif
Куда копать? Есть ли возможность включать и отключать Exempt в зависимости от состояния канала?
Или есть другие механизмы?


30 ноя 2010, 16:49
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 4526
Не помню, а скрипт на ASA возможен?


30 ноя 2010, 17:34
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Не понятно, зачем прописан exempt на неиспользуемый интерфейс.

Может проще подправить exempt?

Конфигу покажите


30 ноя 2010, 17:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 17
imperorr писал(а):
Не помню, а скрипт на ASA возможен?

Нет, к сожалению не возможен.
Fedia писал(а):
Не понятно, зачем прописан exempt на неиспользуемый интерфейс.

так я же пишу exempt на внутреннем интерфейсе так как NATится inside в outside:

access-list inside_nat0_outbound_1 extended permit ip 192.168.249.0 255.255.255.0 any

nat (inside) 0 access-list inside_nat0_outbound_1
nat (inside) 1 0.0.0.0 0.0.0.0

access-list Spark_cryptomap_5 extended permit ip 192.168.249.0 255.255.255.0 any


30 ноя 2010, 22:20
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
А почему в НАТ0 ACL стоит any?
У вас трафик в инет ходит через удаленную площадку?


30 ноя 2010, 23:09
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 17
Именно так! Первый провайдер (основной) используется только как транспорт для проброса Инет трафика.


30 ноя 2010, 23:27
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Сделайте еще один интерфейс с sec level 0

Или сделайте вместо nat 0 много статиков:


static (in,out) 192.168.249.0 192.168.249.0 ne 255.255.255.0

В этом случае статик (identity nat)работает только между парой интерфейсов in и out. А между in и backup можно сделать обычный НАТ


01 дек 2010, 10:15
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 17
Честно говоря не понял :(
Мне же в outside не нужно НАТить, мне нужно НАТить только в backup.
Вот схемку набросал


Вложения:
[Расширение jpg было запрещено, вложение больше недоступно.]
01 дек 2010, 11:54
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4436
Ну вы и делаете НАТ в себя. Это позволяет избежать того, что NAT 0отрабатывает в сторону ВСЕХ интерфейсов с меньшим sec level. СТатик будет транслировать в себя только между in и out, а между in и backup делайте обычный НАТ

static (in,out) 192.168.249.0 192.168.249.0 ne 255.255.255.0
nat (in) 1 192.168.249.0 255.255.255.0
global (backup) 1 int


01 дек 2010, 16:12
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 17
Fedia ооогромное спасибо!
Все получилось. Заменил nat0 на статик, как ты и сказал и все завелось.
Респект!


01 дек 2010, 23:40
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB