|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Cisco ASA 5508-X vpn routing
Автор |
Сообщение |
nev
Зарегистрирован: 13 сен 2019, 13:56 Сообщения: 5
|
Друзья, приветствую! Возник неожиданный вопрос про маршрутизацию на сети, состоящую исключительно из Cisco ASA 5506-X и одной 5508-Х в главном офисе. Есть 15 офисов. Офисы соединены между собой классическим для ASA IPSec Site-to-site VPN, при этом весь трафик из региональных офисов заворачивается в центральный для выхода в Интернет. Это уже работает на данный момент. Очень нужно: 1. Сделать исключения для региональных офисов таким образом, что б они выходили в Интернет через локального провайдера на определенные внешние IP адреса, а остальной трафик в Интернет продолжал идти через центральный офис. В идеале, конечно, на FQDN имена, но, по-моему, это на ASA невозможно пока что - FQDN объекты только для ACL? 2. Не затрагивая выход в Интернет через центральный офис для всех регионов, настроить так, что б между собой регионы по внутренним IP адресам общались через прямые VPN соединения, а не через центральный офис (хаб). Фактически нужен partial mesh, который на маршрутизаторах легко достигается DMVPN, но тут этого нет. Возможно, поможет route based routing? Заранее очень благодарю С уважением, nev
|
16 сен 2019, 15:15 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
DMVPN FlexVPN на АСАх не работает, PBR вам тоже не поможет....
или добавляйте вручную дополнительные пиры LAN-to-LAN или перешивайте все АСы в FTD ( FirePOWER ) там работает Full MESH и другие топологии - ну думаю это не подъёмно будет на работающих железках....
|
16 сен 2019, 15:26 |
|
|
nev
Зарегистрирован: 13 сен 2019, 13:56 Сообщения: 5
|
root99 писал(а): DMVPN FlexVPN на АСАх не работает, PBR вам тоже не поможет....
или добавляйте вручную дополнительные пиры LAN-to-LAN или перешивайте все АСы в FTD ( FirePOWER ) там работает Full MESH и другие топологии - ну думаю это не подъёмно будет на работающих железках.... Большое спасибо за оперативный ответ! Можете буквально в двух словах объяснить, что значит "доп пиры" - доп IP адреса внешние для каждого доп соединения? А что на счет локальных исключений при заворачивании всего трафика в интернет через hub? К счастью, сейчас еще есть возможность перейти на FTD - инфраструктура в процессе миграции. Подскажите, там есть возможность NAT-а через FQDN?
|
16 сен 2019, 15:31 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
FQDN - собственно зачем вам нужен
настраивается роутинг и всё
NAT, роутинг работают с такими понятиями как IP адреса
Дополнительные пиры - имелось в виду доп. впн на другие точки куда требуется ходить без хаба.....
P.S. Единственный минус что вы изначально используете устаревшее оборудование ( ASA5506-X ) где современный FTD по типу 6.4 - 6.5 вы уже не поставите.....
|
16 сен 2019, 16:00 |
|
|
nev
Зарегистрирован: 13 сен 2019, 13:56 Сообщения: 5
|
FQDN нужен для того, что б прописать исключения в NAT не на IP адрес, а на FQDN. В ASA software этого точно нельзя. А В FTD? Цитата: Дополнительные пиры - имелось в виду доп. впн на другие точки куда требуется ходить без хаба..... Да, это понятно, но! Получается, что трафик начнет пересекается в этом случае с уже существующим VPN, который построен на destination any - можно как то будет указать, что б сначала просматривались VPN тоннели с конерктными региональными адресами, а затем, если совпадения нет, уже трафик попадет под правило any и будет завернут в центральный сайт? Да, с FTD промах на 5506 - согласен. Поэтому и пытаюсь решить на asa software
|
16 сен 2019, 17:26 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
у вас должны быть туннели со списком доступа с конкретным источником и конкретной целью а не any, если для каждой точки нужно сделать 10 туннелей так делаете их, конечно это не регулярная практика по строительству сетевого дизайна..., но что уж поделать....
а так конечно проще реализовать это без АСы на FTD image с централизованным управлением FMCv ( даже на 6.2.х вы сможете это реализовать )
|
16 сен 2019, 17:36 |
|
|
nev
Зарегистрирован: 13 сен 2019, 13:56 Сообщения: 5
|
root99, премного благодарен за оперативные ответ! Осталось совсем чуть чуть)
Относительно количества тоннелей - оно меня не пугает)) благо, лицензия позволяет. Да и, похоже, это единственный разумный выход в данной ситуации (на FTD 6.2 не хотелось бы переходить и сидеть потом только ради элегантности).
Вопрос в том, как реализовать это правильно в нашей топологии. Возьмем произвольный региональный офис. У него в crypto-map в качестве source, разумеется, его подсеть, а в качестве destination - any, поскольку требуется завернуть ВЕСЬ трафик через центр, а не только тот, что идет в его внутреннюю сеть. Вероятно, это некорректное/неоптимальное понимание в данном случае. Прошу по возможности указать верное.
И все еще вопрос - как сделать при этом так, что б для определенных внешних IP адресов на региональных АСАх работал локальный PAT - выход в интернет напрямую через их провайдер, а не через центральный офис. NAT exemption в данном случае не сработает, если я правильно понимаю, поскольку уже и так ВЕСЬ трафик в excemption'e по причине наличия any в тоннеле, описанном выше.
|
16 сен 2019, 17:59 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
а кто сказал что у вас интернет ходит через центральный офис
то что у вас в крипто-мапе в цели стоит any не говорит о том что весь трафик идёт туда ( это всего-лишь описание ВПН и только ВПН....)
для каждого крипто-мапа собираете АКЛ source 1.1.1.0 255.255.255.0 dest 2.2.2.0 255.255.255.0 etc.... source 1.1.1.0 255.255.255.0 dest 3.3.3.0 255.255.255.0 так для каждого филиала
Exempt вы просто делаете чтобы не работал НАТ для крипто-мапа интернет локально настраиваете по классической схеме
Exempt тоже настраивается целево - конкретный соурс и конкретный дестинейшен.... или всё делается через АСДМ в пол-тычка
|
16 сен 2019, 18:12 |
|
|
nev
Зарегистрирован: 13 сен 2019, 13:56 Сообщения: 5
|
root99, на счет пол-тычка я не сомниваюсь)) я плохо объяснил, видимо ((( Интернет через центральный офис идет по факту при текущих настройках (проверял по логу): В филиале единственный s2s VPN - в центр и в нем в криптомапе стоит в destination - any. За отсутствием других маршрутов, кроме дефолтного, а также наличием NAT excepmtion с унаследованным от настроек VPN any в destination, трафик идет через центральный офис. Цитата: для каждого крипто-мапа собираете АКЛ source 1.1.1.0 255.255.255.0 dest 2.2.2.0 255.255.255.0 etc.... source 1.1.1.0 255.255.255.0 dest 3.3.3.0 255.255.255.0 так для каждого филиала
Это тоже понятно и с этим я солгасен. НО: как вообще дело дойдет до этих филиальных VPN-ов, когда у него по первому - основному, весь трафик заворачивается в центр? Есть какой то способ указать приоритет, что, мол, если ни один из филиалов не подошел, тогда дефолт - в центр? Заранее благодарен
|
16 сен 2019, 19:42 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
ну так выставляете крипто-мапы по приоритетам, а что касается АСДМ там это всё делается в пол-тычка у вас не уникальная прямо сказать топология и т.д., и сделать всё быстро проще именно из ГУИ....
|
16 сен 2019, 20:55 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 10 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 49 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|