Автор |
Сообщение |
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
Здравствуйте. Есть задача, для ряда пользователей в офисе сделать так, чтобы в Интернет они ходили через 2811 который находится вне офиса (в каком-то другом месте) с настроенным Инетом и белым IP, а не через асу, которая дает основной Инет в организацию. Короче чтобы не светить офисный белый IP. Есть определённые мысли по поводу реализации, но может кто bestpractice поделится? Спасибо!
|
06 фев 2019, 11:56 |
|
|
Demm
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 498
|
впн и часть пользователей через туннель в инет
|
06 фев 2019, 12:08 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
то есть, организовать, например IPsec over GRE, между роутерами и завернуть ACL-ем нужных пользователей в него?
|
06 фев 2019, 12:33 |
|
|
Odyssey
Зарегистрирован: 29 май 2015, 11:23 Сообщения: 31
|
Аса не умеет GRE. Так что просто IPSec. А лучше наверное будет поднять на 2811 l2tp/pptp сервер.
|
06 фев 2019, 14:26 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
Вы предлагаете RA VPN? Site-to-site в целом не нужен, так как из вне нужен доступ только к порту 2811 на котором белый IP который ИНЕТ дает. Никаких ресурсов к которым нужен доступ вне главного офиса, на другой площадки нет.
|
06 фев 2019, 15:21 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
У вас скорее всего и АСА старая стоит которая не умеет GRE и выше об этом писали, т.к. вы хотите не получится у вас... или ставьте по-лучше оборудование или подымайте RA VPN на 2811
|
06 фев 2019, 15:43 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
аса 5512-x норм. машина насчет может ли GRE посмотрю сейчас
|
06 фев 2019, 15:50 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
ну если поставить софт 992-40 ту умеет GRE + IPSec - не шифрованный GRE не работает на ней
|
06 фев 2019, 15:52 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
Задача усложнилась Есть канал между двумя Асами IPsec (основной офис и дополнительный). И нужно чтобы часть пользователей из основного офиса имела доступ к ресурсам доп офиса через Интернет, который дается 2811 на стороне. Видимо, RA VPN уже не катит:(
|
06 фев 2019, 16:31 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
вы напишите конкретно что у вас за железо и версии софта - в любом случ между 2811 и Асой ( Асами ) нужен GRE + IPSec или Site-to-Site IPSec
|
06 фев 2019, 16:44 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
В головном офисе, где сидят пользователи стоит ASA 5512-x Cisco Adaptive Security Appliance Software Version 9.4(2)6 с лицухой sec.+ с вот таким набором: Licensed features for this platform: Maximum Physical Interfaces : Unlimited perpetual Maximum VLANs : 100 perpetual Inside Hosts : Unlimited perpetual Failover : Active/Active perpetual Encryption-DES : Enabled perpetual Encryption-3DES-AES : Enabled perpetual Security Contexts : 5 perpetual GTP/GPRS : Enabled perpetual AnyConnect Premium Peers : 250 perpetual AnyConnect Essentials : 250 perpetual Other VPN Peers : 250 perpetual Total VPN Peers : 250 perpetual Shared License : Enabled perpetual AnyConnect for Mobile : Enabled perpetual AnyConnect for Cisco VPN Phone : Enabled perpetual Advanced Endpoint Assessment : Enabled perpetual Total UC Proxy Sessions : 500 perpetual
Соответственно в нее приходят пров. и она раздает Инет. в головной офис в удаленном офисе то же самое. Между ними IPsec. Есть 3-я точка с 2811, который подключен в Инет, смотрит наружу. Нужно чтобы часть пользователей, находящихся в головном офисе получали инет не от АСЫ в головном офисе, а от 2811, находящемся в 3 месте. Кроме него там ничего более нет. И имели доступ к ресурсам, как головного офиса, но это и так будет, так и к ресурсам второго филиала (который за бугром:) Вот так. Спасибо, если кто поможет, огромное.
|
06 фев 2019, 19:53 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
Идея конечно дурацкая - но вам в любом случ нужно будет разбить на подсети локальную сеть в главном офисе на тех которые будут ходить через удаленный офис в инет и на подсеть которая будет локально ходить в интернет ну и плюс куча исключений для НАТА что куда должно ходить внутри....
П.С. Исходя из этого я думаю у вас пропадёт всякое желание это делать....
|
06 фев 2019, 20:04 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
-
Последний раз редактировалось dezhnevo 06 фев 2019, 21:38, всего редактировалось 1 раз.
|
06 фев 2019, 21:08 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
Повестка дня стремительно меняется. Не от меня зависит, уж извольте. Эта третья площадка с 2811 как раз и нужна для отмены удаленной АСЫ с ресурсами за бугром. То есть задача упрощается, есть только АСА в головном офисе и ее нужно связать так, чтобы часть пользователей (как я уже не раз говорил:) получала Инет от 2811 с белым IP не принадлежащим основной организации. Прошу прощения за сумятицу
|
06 фев 2019, 21:37 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
в пред. сообщ. кратко написано с чего нужно начать...
и есть более простой способ в принципе даже не относящиеся к цискам - ставите прокси где вам нужно, а тем которым так приспичило ходить через за бугор настраиваете хождение через сей инструмент...
|
06 фев 2019, 22:00 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
Реализовать надо на циске. Программный ВПН не нужен.. Еще раз чтобы уложилось. Поднять VPN сервер на 2811 и ходить через него ВПН клиентом так?
|
06 фев 2019, 23:44 |
|
|
dezhnevo
Зарегистрирован: 02 фев 2019, 17:10 Сообщения: 75
|
Неужели никто не поделится практикой?
|
11 фев 2019, 09:38 |
|
|