Failover de VPN site a site da Cisco ASA

21

Recentemente, substituímos o MPLS internacional por novos ASA 5510s e VPNs site a site. No entanto, quando implantamos isso, encontramos um problema em que cada local remoto possui 2 ISPs para redundância, mas ao ativar a VPN nas duas interfaces, ele alterna entre os dois e o túnel fica para cima e para baixo quando o túnel é destruído e movido entre ISPs. A Cisco trabalha nisso há 8 meses e ainda não temos túneis estáveis ​​com vários ISPs.

Escritório remoto:

access-list RWS_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list RWS_TUNNEL extended permit ip object-group BNG_tunnel_NETS object-group CORP_tunnel_NETS
crypto map RWS_TUNNEL 1 match address RWS_TUNNEL
crypto map RWS_TUNNEL 1 set peer 216.xxx.102.2 
crypto map RWS_TUNNEL 1 set transform-set IND-RWS
tunnel-group 216.xxx.102.2 type ipsec-l2l
tunnel-group 216.xxx.102.2 ipsec-attributes
 pre-shared-key *****


route outside 0.0.0.0 0.0.0.0 216.xxx.206.1 1 track 2
route outside2 0.0.0.0 0.0.0.0 182.xxx.26.229 100
sla monitor 55
 type echo protocol ipIcmpEcho 63.251.61.142 interface outside
 num-packets 5
 timeout 1000
 frequency 10
sla monitor schedule 55 life forever start-time now
track 2 rtr 55 reachability

Escritório Central:

access-list BNG_TUNNEL remark Interesting traffic for IND-RWS tunnel
access-list BNG_TUNNEL extended permit ip object-group CORP_tunnel_NETS object-group BNG_tunnel_NETS 

route outside2 0.0.0.0 0.0.0.0 216.xxx.102.1
crypto map BNG_TUNNEL 1 match address BNG_TUNNEL
crypto map BNG_TUNNEL 1 set peer 182.xxx.26.230 216.xxx.206.4
crypto map BNG_TUNNEL 1 set transform-set L2L

tunnel-group 182.xxx.26.230 type ipsec-l2l
tunnel-group 182.xxx.26.230 ipsec-attributes
 pre-shared-key *****
tunnel-group 216.xxx.206.4 type ipsec-l2l
tunnel-group 216.xxx.206.4 ipsec-attributes
 pre-shared-key *****

Então, o que descobri é que, quando o ISAKMP é ativado nas interfaces externas (escritório remoto) e nos dois IPs configurados como pares (escritório central), a VPN aparece com êxito nas duas interfaces, mas em algum momento começará a mudar entre os IPs. Isso ocorre com ou sem o SLA Monitoring, portanto, mesmo se as rotas estiverem todas estáticas, o comportamento ainda ocorrerá.

Qualquer insight é apreciado.

Scott Boultinghouse
fonte
Para ajudar a diagnosticar o problema, tente ativar a função "criptografar isakmp desconectar-notificar" e informe-nos o que encontrou. Estou muito curioso para descobrir por que esses túneis finalmente começam a bater.
Skrumcd #

Respostas:

14

Eu tenho migrado sites para longe de VPNs baseadas em políticas por esse motivo. As VPNs baseadas em políticas são imprevisíveis quando se trata de comportamento de failover. Eu prefiro túneis IPsec baseados em rota, ponto a ponto ou DMVPN. Infelizmente, até onde sei, a plataforma ASA ainda não suporta túneis baseados em rotas.

Jeremy Stretch
fonte
9

Eu recomendaria o uso de uma solução DMVPN para conectar sites remotos através de túneis IPSec L2L (Lan para Lan) entre ASAs. A solução DMVPN é muito mais fácil, limpa e também permitirá a comunicação spoke-spoke.

twidfeki
fonte
Você pode elaborar os pensamentos fundamentais por trás disso e como isso seria implementado?
SimonJGreen
Com uma solução DMVPN, toda a configuração é feita no lado do cliente (raios), não é necessário fazer alterações nos hubs após a configuração inicial. Para o cliente, você pode criar um modelo para usar repetidamente. Você pode ter vários túneis desde os raios até vários hubs e usar protocolos de roteamento para determinar em qual túnel encaminhar o tráfego. Além disso, você pode configurar o DMVPN para usar GRE multiponto e os raios podem se comunicar diretamente sem passar o tráfego pelos hubs.
Twidfeki
4

Poderia ser:

CSCub92666

ASA: Conexões antigas derrubam o túnel IPSEC vpn na transição

Sintoma: Na configuração de failover do túnel IPsec vpn no ASA, o failover do link primário para o backup funciona. Porém, após o segundo failover do backup para o túnel VPN do link primário, comece a bater em alguns minutos e permanece instável. O comportamento é observado devido à antiga conexão restante que ainda aponta para o ISP de backup.

t0i
fonte
2

Eu concordo com as afirmações acima. Vá para IPSEC baseado em VTI simples ou, em alternativa, DMVPN. Lembre-se de executar diferentes instâncias de procotol de roteamento dentro e fora dos túneis. Sim, você terá que substituir os ASAs por ISRs.

Os dois ISPs estão voltando para um único escritório central ASA ou dois? Se dois, acho difícil ver (com a configuração disponível pelo menos) como esse comportamento pode ocorrer, mas se for o mesmo ASA (ou o mesmo par), ele pode estar relacionado.

wintermute000
fonte
Sim, temos um par de HA no local central. O roteamento BGP esconde os múltiplos ISPs lá, mas para os escritórios remotos, o ISP termina diretamente no ASA.
Scott Boultinghouse
Eu dividiria o headend para que a outra conexão ISP seja encerrada em um dispositivo diferente ou pelo menos entre em uma interface física / IP diferente no ASA. Isso deve ajudar / tentar um dispositivo de terminação diferente deve ser livre não disruptiva /, basta usar um ISR reposição para agora
wintermute000
2

Como acompanhamento desta questão, trabalho com o Cisco TAC há mais de um ano. Eles finalmente identificaram que isso é um bug na maneira como a plataforma ASA lida com as conexões. essencialmente, ele não estava limpando conexões de uma interface quando mudou o túnel para a outra interface e ficaria fora de controle quando começou a ver entradas na tabela de conexões nas duas interfaces.

Implantei a versão 8.4.7 do IOS no firewall com dois ISPs e ele parece estar se comportando corretamente. O failover está acontecendo quando a interface principal é desativada e, em seguida, retorna quando essa interface retorna E permanecendo nessa interface. Veremos.

Scott Boultinghouse
fonte
1
Você tem uma identificação de bugtack para o bug no qual o TAC trabalhou?
O túnel se antecipa do Backup ao primário quando o primário é restaurado?
Federi 18/10/19