Anticisco
http://www.anticisco.ru/forum/

Интернет-шлюз за пределами организации
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10847
Страница 1 из 1

Автор:  dezhnevo [ 06 фев 2019, 11:56 ]
Заголовок сообщения:  Интернет-шлюз за пределами организации

Здравствуйте.
Есть задача, для ряда пользователей в офисе сделать так, чтобы в Интернет они ходили через 2811 который находится вне офиса (в каком-то другом месте) с настроенным Инетом и белым IP, а не через асу, которая дает основной Инет в организацию. Короче чтобы не светить офисный белый IP.
Есть определённые мысли по поводу реализации, но может кто bestpractice поделится?
Спасибо!

Автор:  Demm [ 06 фев 2019, 12:08 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

впн и часть пользователей через туннель в инет

Автор:  dezhnevo [ 06 фев 2019, 12:33 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

то есть, организовать, например IPsec over GRE, между роутерами и завернуть ACL-ем нужных пользователей в него?

Автор:  Odyssey [ 06 фев 2019, 14:26 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Аса не умеет GRE. Так что просто IPSec. А лучше наверное будет поднять на 2811 l2tp/pptp сервер.

Автор:  dezhnevo [ 06 фев 2019, 15:21 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Вы предлагаете RA VPN?
Site-to-site в целом не нужен, так как из вне нужен доступ только к порту 2811 на котором белый IP который ИНЕТ дает. Никаких ресурсов к которым нужен доступ вне главного офиса, на другой площадки нет.

Автор:  root99 [ 06 фев 2019, 15:43 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

У вас скорее всего и АСА старая стоит которая не умеет GRE и выше об этом писали, т.к. вы хотите не получится у вас... или ставьте по-лучше оборудование или подымайте RA VPN на 2811

Автор:  dezhnevo [ 06 фев 2019, 15:50 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

аса 5512-x
норм. машина
насчет может ли GRE посмотрю сейчас

Автор:  root99 [ 06 фев 2019, 15:52 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

ну если поставить софт 992-40 ту умеет GRE + IPSec - не шифрованный GRE не работает на ней

Автор:  dezhnevo [ 06 фев 2019, 16:31 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Задача усложнилась :)
Есть канал между двумя Асами IPsec (основной офис и дополнительный).
И нужно чтобы часть пользователей из основного офиса имела доступ к ресурсам доп офиса через Интернет, который дается 2811 на стороне. Видимо, RA VPN уже не катит:(

Автор:  root99 [ 06 фев 2019, 16:44 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

вы напишите конкретно что у вас за железо и версии софта - в любом случ между 2811 и Асой ( Асами ) нужен GRE + IPSec или Site-to-Site IPSec

Автор:  dezhnevo [ 06 фев 2019, 19:53 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

В головном офисе, где сидят пользователи стоит ASA 5512-x Cisco Adaptive Security Appliance Software Version 9.4(2)6 с лицухой sec.+ с вот таким набором:
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 5 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 250 perpetual
AnyConnect Essentials : 250 perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Enabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Enabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Total UC Proxy Sessions : 500 perpetual

Соответственно в нее приходят пров. и она раздает Инет. в головной офис
в удаленном офисе то же самое. Между ними IPsec.
Есть 3-я точка с 2811, который подключен в Инет, смотрит наружу. Нужно чтобы часть пользователей, находящихся в головном офисе получали инет не от АСЫ в головном офисе, а от 2811, находящемся в 3 месте. Кроме него там ничего более нет. И имели доступ к ресурсам, как головного офиса, но это и так будет, так и к ресурсам второго филиала (который за бугром:)
Вот так.
Спасибо, если кто поможет, огромное.

Автор:  root99 [ 06 фев 2019, 20:04 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Идея конечно дурацкая - но вам в любом случ нужно будет разбить на подсети локальную сеть в главном офисе на тех которые будут ходить через удаленный офис в инет и на подсеть которая будет локально ходить в интернет ну и плюс куча исключений для НАТА что куда должно ходить внутри....

П.С. Исходя из этого я думаю у вас пропадёт всякое желание это делать....

Автор:  dezhnevo [ 06 фев 2019, 21:08 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

-

Автор:  dezhnevo [ 06 фев 2019, 21:37 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Повестка дня стремительно меняется. Не от меня зависит, уж извольте.
Эта третья площадка с 2811 как раз и нужна для отмены удаленной АСЫ с ресурсами за бугром. То есть задача упрощается, есть только АСА в головном офисе и ее нужно связать так, чтобы часть пользователей (как я уже не раз говорил:) получала Инет от 2811 с белым IP не принадлежащим основной организации.
Прошу прощения за сумятицу

Автор:  root99 [ 06 фев 2019, 22:00 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

в пред. сообщ. кратко написано с чего нужно начать...

и есть более простой способ в принципе даже не относящиеся к цискам - ставите прокси где вам нужно, а тем которым так приспичило ходить через за бугор настраиваете хождение через сей инструмент...

Автор:  dezhnevo [ 06 фев 2019, 23:44 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Реализовать надо на циске. Программный ВПН не нужен..
Еще раз чтобы уложилось.
Поднять VPN сервер на 2811 и ходить через него ВПН клиентом так?

Автор:  dezhnevo [ 11 фев 2019, 09:38 ]
Заголовок сообщения:  Re: Интернет-шлюз за пределами организации

Неужели никто не поделится практикой?

Страница 1 из 1 Часовой пояс: UTC + 3 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/