Anticisco http://www.anticisco.ru/forum/ |
|
Интернет-шлюз за пределами организации http://www.anticisco.ru/forum/viewtopic.php?f=2&t=10847 |
Страница 1 из 1 |
Автор: | dezhnevo [ 06 фев 2019, 11:56 ] |
Заголовок сообщения: | Интернет-шлюз за пределами организации |
Здравствуйте. Есть задача, для ряда пользователей в офисе сделать так, чтобы в Интернет они ходили через 2811 который находится вне офиса (в каком-то другом месте) с настроенным Инетом и белым IP, а не через асу, которая дает основной Инет в организацию. Короче чтобы не светить офисный белый IP. Есть определённые мысли по поводу реализации, но может кто bestpractice поделится? Спасибо! |
Автор: | Demm [ 06 фев 2019, 12:08 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
впн и часть пользователей через туннель в инет |
Автор: | dezhnevo [ 06 фев 2019, 12:33 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
то есть, организовать, например IPsec over GRE, между роутерами и завернуть ACL-ем нужных пользователей в него? |
Автор: | Odyssey [ 06 фев 2019, 14:26 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Аса не умеет GRE. Так что просто IPSec. А лучше наверное будет поднять на 2811 l2tp/pptp сервер. |
Автор: | dezhnevo [ 06 фев 2019, 15:21 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Вы предлагаете RA VPN? Site-to-site в целом не нужен, так как из вне нужен доступ только к порту 2811 на котором белый IP который ИНЕТ дает. Никаких ресурсов к которым нужен доступ вне главного офиса, на другой площадки нет. |
Автор: | root99 [ 06 фев 2019, 15:43 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
У вас скорее всего и АСА старая стоит которая не умеет GRE и выше об этом писали, т.к. вы хотите не получится у вас... или ставьте по-лучше оборудование или подымайте RA VPN на 2811 |
Автор: | dezhnevo [ 06 фев 2019, 15:50 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
аса 5512-x норм. машина насчет может ли GRE посмотрю сейчас |
Автор: | root99 [ 06 фев 2019, 15:52 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
ну если поставить софт 992-40 ту умеет GRE + IPSec - не шифрованный GRE не работает на ней |
Автор: | dezhnevo [ 06 фев 2019, 16:31 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Задача усложнилась Есть канал между двумя Асами IPsec (основной офис и дополнительный). И нужно чтобы часть пользователей из основного офиса имела доступ к ресурсам доп офиса через Интернет, который дается 2811 на стороне. Видимо, RA VPN уже не катит:( |
Автор: | root99 [ 06 фев 2019, 16:44 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
вы напишите конкретно что у вас за железо и версии софта - в любом случ между 2811 и Асой ( Асами ) нужен GRE + IPSec или Site-to-Site IPSec |
Автор: | dezhnevo [ 06 фев 2019, 19:53 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
В головном офисе, где сидят пользователи стоит ASA 5512-x Cisco Adaptive Security Appliance Software Version 9.4(2)6 с лицухой sec.+ с вот таким набором: Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 100 perpetual Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 5 perpetual GTP/GPRS : Enabled perpetual AnyConnect Premium Peers : 250 perpetual AnyConnect Essentials : 250 perpetual Other VPN Peers : 250 perpetual Total VPN Peers : 250 perpetual Shared License : Enabled perpetual AnyConnect for Mobile : Enabled perpetual AnyConnect for Cisco VPN Phone : Enabled perpetual Advanced Endpoint Assessment : Enabled perpetual Total UC Proxy Sessions : 500 perpetual Соответственно в нее приходят пров. и она раздает Инет. в головной офис в удаленном офисе то же самое. Между ними IPsec. Есть 3-я точка с 2811, который подключен в Инет, смотрит наружу. Нужно чтобы часть пользователей, находящихся в головном офисе получали инет не от АСЫ в головном офисе, а от 2811, находящемся в 3 месте. Кроме него там ничего более нет. И имели доступ к ресурсам, как головного офиса, но это и так будет, так и к ресурсам второго филиала (который за бугром:) Вот так. Спасибо, если кто поможет, огромное. |
Автор: | root99 [ 06 фев 2019, 20:04 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Идея конечно дурацкая - но вам в любом случ нужно будет разбить на подсети локальную сеть в главном офисе на тех которые будут ходить через удаленный офис в инет и на подсеть которая будет локально ходить в интернет ну и плюс куча исключений для НАТА что куда должно ходить внутри.... П.С. Исходя из этого я думаю у вас пропадёт всякое желание это делать.... |
Автор: | dezhnevo [ 06 фев 2019, 21:08 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
- |
Автор: | dezhnevo [ 06 фев 2019, 21:37 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Повестка дня стремительно меняется. Не от меня зависит, уж извольте. Эта третья площадка с 2811 как раз и нужна для отмены удаленной АСЫ с ресурсами за бугром. То есть задача упрощается, есть только АСА в головном офисе и ее нужно связать так, чтобы часть пользователей (как я уже не раз говорил:) получала Инет от 2811 с белым IP не принадлежащим основной организации. Прошу прощения за сумятицу |
Автор: | root99 [ 06 фев 2019, 22:00 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
в пред. сообщ. кратко написано с чего нужно начать... и есть более простой способ в принципе даже не относящиеся к цискам - ставите прокси где вам нужно, а тем которым так приспичило ходить через за бугор настраиваете хождение через сей инструмент... |
Автор: | dezhnevo [ 06 фев 2019, 23:44 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Реализовать надо на циске. Программный ВПН не нужен.. Еще раз чтобы уложилось. Поднять VPN сервер на 2811 и ходить через него ВПН клиентом так? |
Автор: | dezhnevo [ 11 фев 2019, 09:38 ] |
Заголовок сообщения: | Re: Интернет-шлюз за пределами организации |
Неужели никто не поделится практикой? |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |