Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
gvov80
0 / 0 / 0
Регистрация: 30.12.2018
Сообщений: 3
1

2 провайдера, VPN. 2 офиса cisco asa 5550

16.04.2019, 09:44. Просмотров 114. Ответов 0

Здравствуйте, имеется схема подключения (прилагается)
, также конфиги двух asa (FW1 и FW2).

Схема

На текущий момент подключено по одному провайдеру и организована сеть Site to Site VPN, есть второй провайдер и нужно зарезервировать каналы через второго провайдера. Что нужно добавить в конфиги чтоб схема заработала?

Вот текущие рабочие конфиги:

: Hardware: ASA5550, 4096 MB RAM, CPU Pentium 4 3000 MHz
ASA Version 9.1(7)16
!
hostname fw1
enable password *** encrypted
passwd *** encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 1.1.1.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside2
security-level 0
ip address 1.1.2.2 255.255.255.0
!
interface GigabitEthernet0/3
nameif inside
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface Management0/0
nameif manage
security-level 100
ip address 192.168.1.1 255.255.255.0
!
ftp mode passive
access-list outside_cryptomap extended permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu manage 1500
mtu outside2 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
route outside 2.2.1.2 255.255.255.255 1.1.1.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 manage
http 10.1.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 2.2.1.2
crypto map outside_map 1 set ikev1 transform-set ESP-3DES-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal 3DES
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev1 enable outside
crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh stricthostkeycheck
ssh 10.1.1.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 manage
ssh timeout 60
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
!
tls-proxy maximum-session 1000
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy GroupPolicy_2.2.1.2 internal
group-policy GroupPolicy_2.2.1.2 attributes
vpn-tunnel-protocol ikev1 ikev2
username root password *** encrypted
tunnel-group 2.2.1.2 type ipsec-l2l
tunnel-group 2.2.1.2 general-attributes
default-group-policy GroupPolicy_2.2.1.2
tunnel-group 2.2.1.2 ipsec-attributes
ikev1 pre-shared-key 12345678
ikev2 remote-authentication pre-shared-key 12345678
ikev2 local-authentication pre-shared-key 12345678
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:5a137061e6083133afe494f5b9f6cd33
: end


и


: Hardware: ASA5550, 4096 MB RAM, CPU Pentium 4 3000 MHz
!
ASA Version 9.1(7)16
!
hostname fw2
enable password *** encrypted
passwd *** encrypted
names
!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 2.2.1.2 255.255.255.0
!
interface GigabitEthernet0/1
shutdown
nameif outside2
security-level 0
ip address 2.2.2.2 255.255.255.0
!
interface GigabitEthernet0/3
nameif inside
security-level 100
ip address 10.2.2.1 255.255.255.0
!
interface Management0/0
nameif manage
security-level 100
ip address 192.168.1.2 255.255.255.0
!
ftp mode passive
access-list outside_cryptomap extended permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
mtu manage 1500
mtu outside2 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
route outside 0.0.0.0 0.0.0.0 2.2.1.1 1
route outside 1.1.1.2 255.255.255.255 2.2.1.1 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 manage
http 10.2.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA-TRANS mode transport
crypto ipsec ikev2 ipsec-proposal 3DES
protocol esp encryption 3des
protocol esp integrity sha-1 md5
crypto ipsec security-association pmtu-aging infinite
crypto map outside_map 1 match address outside_cryptomap
crypto map outside_map 1 set peer 1.1.1.2
crypto map outside_map 1 set ikev1 transform-set ESP-3DES-SHA
crypto map outside_map 1 set ikev2 ipsec-proposal 3DES
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev2 policy 30
encryption 3des
integrity sha
group 5 2
prf sha
lifetime seconds 86400
crypto ikev2 enable outside
crypto ikev1 enable outside
crypto ikev1 policy 120
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh stricthostkeycheck
ssh 10.2.2.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 manage
ssh timeout 60
ssh version 2
ssh key-exchange group dh-group1-sha1
console timeout 0
!
tls-proxy maximum-session 1000
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy GroupPolicy_1.1.1.2 internal
group-policy GroupPolicy_1.1.1.2 attributes
vpn-tunnel-protocol ikev1 ikev2
username root password 39OP6SqBUg7oORYk encrypted
tunnel-group 1.1.1.2 type ipsec-l2l
tunnel-group 1.1.1.2 general-attributes
default-group-policy GroupPolicy_1.1.1.2
tunnel-group 1.1.1.2 ipsec-attributes
ikev1 pre-shared-key 12345678
ikev2 remote-authentication pre-shared-key 12345678
ikev2 local-authentication pre-shared-key 12345678
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect ftp
inspect h323 h225
inspect h323 ras
inspect ip-options
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:5a137061e6083133afe494f5b9f6cd33
: end
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
16.04.2019, 09:44
Ответы с готовыми решениями:

Cisco ASA<->Cisco Router L2L VPN
Добрый день. Столкнулся с проблемой - не поднимается туннель между ASAv4 и R. Между ASAv4 и ASAv5 -...

Cisco ASA VPN Trouble
Добрый вечер! Столкнулся с проблемой.. 2 ASA, настроил между ними VPN. Туннель поднимается когда...

Реализация VPN в Cisco ASA
Всем привет. Помогите разобраться как реализован VPN в Cisco ASA: 1) Не могу понять какую роль...

Cisco ASA VPN S-t-S. Как выключить?
А как можно выключить S-t-S подключение на ASA? Просто off сделать, не удаляя ничего?

Настройка SSL VPN (WebVPN) на cisco ASA
Всем привет. Нужна программа anyconnect-win-2.5.2019-k9.pkg или другая версия для ASA 8.4(2). Если...

0
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.04.2019, 09:44

Не пингуется сервер через VPN на Cisco ASA
Ситуация такая. Есть две сети, между которыми настроен VPN через Cisco ASA. Есть 2 сервера каждой...

Пинг Cisco ASA через VPN-туннель
Коллеги, доброго дня! В филиале надо было настроить Cisco ASA 5505, поднять VPN-туннель с...

Создание vpn между несколькими ASA 5506-X - Cisco
Есть 6 штук, asa 5506-x, провайдер который предоставляет vpn в 6 филиалах компании по 1 айпи...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
1
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru