Pouco planejamento de configuração de 'correias e suspensórios'.
Fundo:
Temos um link VPN site a site bem-sucedido ao nosso datacenter remoto.
A rede remota 'protegida' também é o intervalo de rede IP que é aberto através do firewall como pontos finais da Internet.
Assim : usamos a VPN para acessar pontos de extremidade não públicos.
Declaração do problema :
Se o link da VPN estiver inativo, o ASA reduz o tráfego, mesmo que os pontos de extremidade da Internet ainda devam estar disponíveis através do firewall remoto.
Pergunta :
Como posso configurar a VPN para 'transmitir' o tráfego como tráfego de saída regular, quando a VPN está inativa.
Aqui estão os segmentos pertinentes da configuração.
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
A ACL para o tráfego correspondente é muito primitiva: especifica as duas redes, privada e remota, expressas como objetos de rede.
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
E um diagrama primitivo.
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
obrigado
Roubar
Atualização 01
Uma ACL mais precisa foi discutida nos comentários abaixo (com agradecimentos)
Eu posso imaginar duas ACLS. (A), que permite ALL à rede remota e nega os terminais que já estão disponíveis na Internet. e (B) que abre apenas o gerenciamento / instrumentação, conforme necessário.
O problema com (B) é que expressar pontos de extremidade como WMI e Windows RPC é impraticável sem alterar o servidor padrão)
Portanto, talvez (A) seja a melhor abordagem que se torne um inverso da configuração do firewall remoto .
Atualização 02
Mike pediu para ver mais da configuração ios do ASA.
O que segue é para o HQ ASA, que está no site do HQ. O controlador de domínio remoto está sob o controle do provedor do data center e, portanto, não posso comentar exatamente como isso pode ser configurado.
Bem, não há muito o que mostrar: há uma rota padrão para o gateway da Internet e nenhuma outra rota específica.
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
As interfaces são muito básicas. Somente configuração básica do IPv4 e vlans para dividir o grupo em 1 interface externa e 1 interface interna.
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
Cheers, Rob
Respostas:
Agora sou da opinião de que isso não é prático; pelo menos em nosso cenário particular.
O esquema é ainda mais complicado pelo fato de o tráfego "encapsular" ser selecionado pela ACL entre o HQ e o RemoteDC (e, portanto, podemos torná-lo o mais complicado possível), mas no "caminho" inverso (por assim dizer), o O concentrador de VPN na extremidade remota está selecionando toda a rede HQ como a rede protegida.
O resultado é que eles não se equilibram e parece que os xlates para frente e para trás não coincidem. É semelhante a ter rotas de avanço e reversão que causam falha no tráfego porque o NAT está em execução em algum momento.
Essencialmente - isso está sendo descartado como "risco técnico muito alto" e requer muito mais avaliação e possivelmente mais controle sobre a extremidade remota antes que ela se torne uma solução.
Obrigado a todos que examinaram isso.
fonte
Se você tiver ou puder instalar um roteador no interior de cada ASA, poderá criar um túnel GRE criptografado e usar o roteamento ou uma estática flutuante para falhar na Internet.
fonte