Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 12:21



Ответить на тему  [ Сообщений: 10 ] 
Cisco ASA 5508-X vpn routing 
Автор Сообщение

Зарегистрирован: 13 сен 2019, 13:56
Сообщения: 5
Друзья, приветствую!

Возник неожиданный вопрос про маршрутизацию на сети, состоящую исключительно из Cisco ASA 5506-X и одной 5508-Х в главном офисе.

Есть 15 офисов. Офисы соединены между собой классическим для ASA IPSec Site-to-site VPN, при этом весь трафик из региональных офисов заворачивается в центральный для выхода в Интернет. Это уже работает на данный момент.

Очень нужно:

1. Сделать исключения для региональных офисов таким образом, что б они выходили в Интернет через локального провайдера на определенные внешние IP адреса, а остальной трафик в Интернет продолжал идти через центральный офис. В идеале, конечно, на FQDN имена, но, по-моему, это на ASA невозможно пока что - FQDN объекты только для ACL?

2. Не затрагивая выход в Интернет через центральный офис для всех регионов, настроить так, что б между собой регионы по внутренним IP адресам общались через прямые VPN соединения, а не через центральный офис (хаб). Фактически нужен partial mesh, который на маршрутизаторах легко достигается DMVPN, но тут этого нет. Возможно, поможет route based routing?

Заранее очень благодарю :)

С уважением,
nev


16 сен 2019, 15:15
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
DMVPN FlexVPN на АСАх не работает, PBR вам тоже не поможет....

или добавляйте вручную дополнительные пиры LAN-to-LAN или перешивайте все АСы в FTD ( FirePOWER ) там работает Full MESH и другие топологии - ну думаю это не подъёмно будет на работающих железках....


16 сен 2019, 15:26
Профиль

Зарегистрирован: 13 сен 2019, 13:56
Сообщения: 5
root99 писал(а):
DMVPN FlexVPN на АСАх не работает, PBR вам тоже не поможет....

или добавляйте вручную дополнительные пиры LAN-to-LAN или перешивайте все АСы в FTD ( FirePOWER ) там работает Full MESH и другие топологии - ну думаю это не подъёмно будет на работающих железках....

Большое спасибо за оперативный ответ!

Можете буквально в двух словах объяснить, что значит "доп пиры" - доп IP адреса внешние для каждого доп соединения?

А что на счет локальных исключений при заворачивании всего трафика в интернет через hub?

К счастью, сейчас еще есть возможность перейти на FTD - инфраструктура в процессе миграции. Подскажите, там есть возможность NAT-а через FQDN?


16 сен 2019, 15:31
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
FQDN - собственно зачем вам нужен

настраивается роутинг и всё

NAT, роутинг работают с такими понятиями как IP адреса

Дополнительные пиры - имелось в виду доп. впн на другие точки куда требуется ходить без хаба.....

P.S. Единственный минус что вы изначально используете устаревшее оборудование ( ASA5506-X ) где современный FTD по типу 6.4 - 6.5 вы уже не поставите.....


16 сен 2019, 16:00
Профиль

Зарегистрирован: 13 сен 2019, 13:56
Сообщения: 5
FQDN нужен для того, что б прописать исключения в NAT не на IP адрес, а на FQDN. В ASA software этого точно нельзя. А В FTD?

Цитата:
Дополнительные пиры - имелось в виду доп. впн на другие точки куда требуется ходить без хаба.....

Да, это понятно, но! Получается, что трафик начнет пересекается в этом случае с уже существующим VPN, который построен на destination any - можно как то будет указать, что б сначала просматривались VPN тоннели с конерктными региональными адресами, а затем, если совпадения нет, уже трафик попадет под правило any и будет завернут в центральный сайт?

Да, с FTD промах на 5506 - согласен. Поэтому и пытаюсь решить на asa software


16 сен 2019, 17:26
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
у вас должны быть туннели со списком доступа с конкретным источником и конкретной целью а не any, если для каждой точки нужно сделать 10 туннелей так делаете их, конечно это не регулярная практика по строительству сетевого дизайна..., но что уж поделать....

а так конечно проще реализовать это без АСы на FTD image с централизованным управлением FMCv ( даже на 6.2.х вы сможете это реализовать )


16 сен 2019, 17:36
Профиль

Зарегистрирован: 13 сен 2019, 13:56
Сообщения: 5
root99, премного благодарен за оперативные ответ! Осталось совсем чуть чуть)

Относительно количества тоннелей - оно меня не пугает)) благо, лицензия позволяет. Да и, похоже, это единственный разумный выход в данной ситуации (на FTD 6.2 не хотелось бы переходить и сидеть потом только ради элегантности).

Вопрос в том, как реализовать это правильно в нашей топологии. Возьмем произвольный региональный офис. У него в crypto-map в качестве source, разумеется, его подсеть, а в качестве destination - any, поскольку требуется завернуть ВЕСЬ трафик через центр, а не только тот, что идет в его внутреннюю сеть. Вероятно, это некорректное/неоптимальное понимание в данном случае. Прошу по возможности указать верное.

И все еще вопрос - как сделать при этом так, что б для определенных внешних IP адресов на региональных АСАх работал локальный PAT - выход в интернет напрямую через их провайдер, а не через центральный офис. NAT exemption в данном случае не сработает, если я правильно понимаю, поскольку уже и так ВЕСЬ трафик в excemption'e по причине наличия any в тоннеле, описанном выше.


16 сен 2019, 17:59
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
а кто сказал что у вас интернет ходит через центральный офис

то что у вас в крипто-мапе в цели стоит any не говорит о том что весь трафик идёт туда ( это всего-лишь описание ВПН и только ВПН....)

для каждого крипто-мапа собираете АКЛ source 1.1.1.0 255.255.255.0 dest 2.2.2.0 255.255.255.0 etc.... source 1.1.1.0 255.255.255.0 dest 3.3.3.0 255.255.255.0 так для каждого филиала

Exempt вы просто делаете чтобы не работал НАТ для крипто-мапа интернет локально настраиваете по классической схеме

Exempt тоже настраивается целево - конкретный соурс и конкретный дестинейшен.... или всё делается через АСДМ в пол-тычка


16 сен 2019, 18:12
Профиль

Зарегистрирован: 13 сен 2019, 13:56
Сообщения: 5
root99, на счет пол-тычка я не сомниваюсь)) я плохо объяснил, видимо (((
Интернет через центральный офис идет по факту при текущих настройках (проверял по логу):

В филиале единственный s2s VPN - в центр и в нем в криптомапе стоит в destination - any. За отсутствием других маршрутов, кроме дефолтного, а также наличием NAT excepmtion с унаследованным от настроек VPN any в destination, трафик идет через центральный офис.

Цитата:
для каждого крипто-мапа собираете АКЛ source 1.1.1.0 255.255.255.0 dest 2.2.2.0 255.255.255.0 etc.... source 1.1.1.0 255.255.255.0 dest 3.3.3.0 255.255.255.0 так для каждого филиала

Это тоже понятно и с этим я солгасен. НО: как вообще дело дойдет до этих филиальных VPN-ов, когда у него по первому - основному, весь трафик заворачивается в центр? Есть какой то способ указать приоритет, что, мол, если ни один из филиалов не подошел, тогда дефолт - в центр?

Заранее благодарен


16 сен 2019, 19:42
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
ну так выставляете крипто-мапы по приоритетам, а что касается АСДМ там это всё делается в пол-тычка у вас не уникальная прямо сказать топология и т.д., и сделать всё быстро проще именно из ГУИ....


16 сен 2019, 20:55
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 10 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 49


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB