Сообщения без ответов | Активные темы Текущее время: 20 сен 2019, 19:29



Ответить на тему  [ Сообщений: 17 ] 
Интернет-шлюз за пределами организации 
Автор Сообщение

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
Здравствуйте.
Есть задача, для ряда пользователей в офисе сделать так, чтобы в Интернет они ходили через 2811 который находится вне офиса (в каком-то другом месте) с настроенным Инетом и белым IP, а не через асу, которая дает основной Инет в организацию. Короче чтобы не светить офисный белый IP.
Есть определённые мысли по поводу реализации, но может кто bestpractice поделится?
Спасибо!


06 фев 2019, 11:56
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 473
впн и часть пользователей через туннель в инет


06 фев 2019, 12:08
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
то есть, организовать, например IPsec over GRE, между роутерами и завернуть ACL-ем нужных пользователей в него?


06 фев 2019, 12:33
Профиль

Зарегистрирован: 29 май 2015, 11:23
Сообщения: 18
Аса не умеет GRE. Так что просто IPSec. А лучше наверное будет поднять на 2811 l2tp/pptp сервер.


06 фев 2019, 14:26
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
Вы предлагаете RA VPN?
Site-to-site в целом не нужен, так как из вне нужен доступ только к порту 2811 на котором белый IP который ИНЕТ дает. Никаких ресурсов к которым нужен доступ вне главного офиса, на другой площадки нет.


06 фев 2019, 15:21
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 767
У вас скорее всего и АСА старая стоит которая не умеет GRE и выше об этом писали, т.к. вы хотите не получится у вас... или ставьте по-лучше оборудование или подымайте RA VPN на 2811


06 фев 2019, 15:43
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
аса 5512-x
норм. машина
насчет может ли GRE посмотрю сейчас


06 фев 2019, 15:50
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 767
ну если поставить софт 992-40 ту умеет GRE + IPSec - не шифрованный GRE не работает на ней


06 фев 2019, 15:52
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
Задача усложнилась :)
Есть канал между двумя Асами IPsec (основной офис и дополнительный).
И нужно чтобы часть пользователей из основного офиса имела доступ к ресурсам доп офиса через Интернет, который дается 2811 на стороне. Видимо, RA VPN уже не катит:(


06 фев 2019, 16:31
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 767
вы напишите конкретно что у вас за железо и версии софта - в любом случ между 2811 и Асой ( Асами ) нужен GRE + IPSec или Site-to-Site IPSec


06 фев 2019, 16:44
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
В головном офисе, где сидят пользователи стоит ASA 5512-x Cisco Adaptive Security Appliance Software Version 9.4(2)6 с лицухой sec.+ с вот таким набором:
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited perpetual
Maximum VLANs : 100 perpetual
Inside Hosts : Unlimited perpetual
Failover : Active/Active perpetual
Encryption-DES : Enabled perpetual
Encryption-3DES-AES : Enabled perpetual
Security Contexts : 5 perpetual
GTP/GPRS : Enabled perpetual
AnyConnect Premium Peers : 250 perpetual
AnyConnect Essentials : 250 perpetual
Other VPN Peers : 250 perpetual
Total VPN Peers : 250 perpetual
Shared License : Enabled perpetual
AnyConnect for Mobile : Enabled perpetual
AnyConnect for Cisco VPN Phone : Enabled perpetual
Advanced Endpoint Assessment : Enabled perpetual
Total UC Proxy Sessions : 500 perpetual

Соответственно в нее приходят пров. и она раздает Инет. в головной офис
в удаленном офисе то же самое. Между ними IPsec.
Есть 3-я точка с 2811, который подключен в Инет, смотрит наружу. Нужно чтобы часть пользователей, находящихся в головном офисе получали инет не от АСЫ в головном офисе, а от 2811, находящемся в 3 месте. Кроме него там ничего более нет. И имели доступ к ресурсам, как головного офиса, но это и так будет, так и к ресурсам второго филиала (который за бугром:)
Вот так.
Спасибо, если кто поможет, огромное.


06 фев 2019, 19:53
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 767
Идея конечно дурацкая - но вам в любом случ нужно будет разбить на подсети локальную сеть в главном офисе на тех которые будут ходить через удаленный офис в инет и на подсеть которая будет локально ходить в интернет ну и плюс куча исключений для НАТА что куда должно ходить внутри....

П.С. Исходя из этого я думаю у вас пропадёт всякое желание это делать....


06 фев 2019, 20:04
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
-


Последний раз редактировалось dezhnevo 06 фев 2019, 21:38, всего редактировалось 1 раз.



06 фев 2019, 21:08
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
Повестка дня стремительно меняется. Не от меня зависит, уж извольте.
Эта третья площадка с 2811 как раз и нужна для отмены удаленной АСЫ с ресурсами за бугром. То есть задача упрощается, есть только АСА в головном офисе и ее нужно связать так, чтобы часть пользователей (как я уже не раз говорил:) получала Инет от 2811 с белым IP не принадлежащим основной организации.
Прошу прощения за сумятицу


06 фев 2019, 21:37
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 767
в пред. сообщ. кратко написано с чего нужно начать...

и есть более простой способ в принципе даже не относящиеся к цискам - ставите прокси где вам нужно, а тем которым так приспичило ходить через за бугор настраиваете хождение через сей инструмент...


06 фев 2019, 22:00
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
Реализовать надо на циске. Программный ВПН не нужен..
Еще раз чтобы уложилось.
Поднять VPN сервер на 2811 и ходить через него ВПН клиентом так?


06 фев 2019, 23:44
Профиль

Зарегистрирован: 02 фев 2019, 17:10
Сообщения: 36
Неужели никто не поделится практикой?


11 фев 2019, 09:38
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 17 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 13


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB