VPN site a site Cisco IPSec. Permitir tráfego se a VPN estiver inativa

9

Pouco planejamento de configuração de 'correias e suspensórios'.

Fundo:

Temos um link VPN site a site bem-sucedido ao nosso datacenter remoto.

A rede remota 'protegida' também é o intervalo de rede IP que é aberto através do firewall como pontos finais da Internet.

Assim : usamos a VPN para acessar pontos de extremidade não públicos.

Declaração do problema :

Se o link da VPN estiver inativo, o ASA reduz o tráfego, mesmo que os pontos de extremidade da Internet ainda devam estar disponíveis através do firewall remoto.

Pergunta :

Como posso configurar a VPN para 'transmitir' o tráfego como tráfego de saída regular, quando a VPN está inativa.

Aqui estão os segmentos pertinentes da configuração.

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

A ACL para o tráfego correspondente é muito primitiva: especifica as duas redes, privada e remota, expressas como objetos de rede.

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log 

E um diagrama primitivo.

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

obrigado

Roubar

Atualização 01

Uma ACL mais precisa foi discutida nos comentários abaixo (com agradecimentos)

Eu posso imaginar duas ACLS. (A), que permite ALL à rede remota e nega os terminais que já estão disponíveis na Internet. e (B) que abre apenas o gerenciamento / instrumentação, conforme necessário.

O problema com (B) é que expressar pontos de extremidade como WMI e Windows RPC é impraticável sem alterar o servidor padrão)

Portanto, talvez (A) seja a melhor abordagem que se torne um inverso da configuração do firewall remoto .

Atualização 02

Mike pediu para ver mais da configuração ios do ASA.

O que segue é para o HQ ASA, que está no site do HQ. O controlador de domínio remoto está sob o controle do provedor do data center e, portanto, não posso comentar exatamente como isso pode ser configurado.

Bem, não há muito o que mostrar: há uma rota padrão para o gateway da Internet e nenhuma outra rota específica.

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

As interfaces são muito básicas. Somente configuração básica do IPv4 e vlans para dividir o grupo em 1 interface externa e 1 interface interna.

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

Cheers, Rob

Rob Shepherd
fonte
Não está claro para mim se você deseja acessar endereços particulares quando a VPN está inoperante.
Radtrentasei
Você pode fornecer um diagrama da conectividade? A solução que fornecemos provavelmente dependeria do layout e do equipamento específicos.
Brett Lykins #
A chamada rede "protegida" é na verdade um segmento IP público. É protegido por firewall, mas não possui NAT. Idealmente, quando a VPN está inoperante, os pontos de extremidade públicos ainda devem estar acessíveis.
Rob Shepherd
11
Uma ACL mais precisa é provavelmente a sua melhor aposta. Você também pode criar um túnel GRE dentro da VPN, mas isso exigiria mais hardware. Se você postar mais detalhes sobre a ACL, podemos ajudar. Talvez mudar os dois primeiros dígitos para proteger os inocentes?
Ron Trunk
11
Rob, você poderia nos dar mais configurações do ASA? Especificamente, configurações de roteamento / interface seria útil para ver
Mike Pennington

Respostas:

2

Agora sou da opinião de que isso não é prático; pelo menos em nosso cenário particular.

O esquema é ainda mais complicado pelo fato de o tráfego "encapsular" ser selecionado pela ACL entre o HQ e o RemoteDC (e, portanto, podemos torná-lo o mais complicado possível), mas no "caminho" inverso (por assim dizer), o O concentrador de VPN na extremidade remota está selecionando toda a rede HQ como a rede protegida.

O resultado é que eles não se equilibram e parece que os xlates para frente e para trás não coincidem. É semelhante a ter rotas de avanço e reversão que causam falha no tráfego porque o NAT está em execução em algum momento.

Essencialmente - isso está sendo descartado como "risco técnico muito alto" e requer muito mais avaliação e possivelmente mais controle sobre a extremidade remota antes que ela se torne uma solução.

Obrigado a todos que examinaram isso.

Rob Shepherd
fonte
Obrigado por acompanhar ... Eu esperava que encontrássemos uma solução com um protocolo de roteamento dinâmico sobre ipsec; embora eu deva confessar que não tenho experiência em primeira mão com esta solução.
Mike Pennington
0

Se você tiver ou puder instalar um roteador no interior de cada ASA, poderá criar um túnel GRE criptografado e usar o roteamento ou uma estática flutuante para falhar na Internet.

etiedem
fonte