81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
1 | |
Site to site VPN ASA22.05.2014, 18:17. Показов 1662. Ответов 6
Метки нет (Все метки)
День добрый
10.10.10.0\24 в Организации А 10.10.10.0\24 в Организации Б Между ними, нужно создать впн тунель на асах. Цель: хосту 10.10.10.1 из А нужно пройти к хосту 10.10.10.1 из Б Как правильно организовать? и где заNATить?
0
|
22.05.2014, 18:17 | |
Ответы с готовыми решениями:
6
Не могу создать vpn site to site на cisco asa 5506-x Cisco ASA, отваливается Site-to-Site VPN Cisco ASA, 2 site-to-site vpn Site to Site IPSec VPN CISCO891-K9 & Cisco RV120W Wireless-N VPN Firewall |
860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,117
|
|
22.05.2014, 18:30 | 2 |
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
22.05.2014, 18:35 [ТС] | 3 |
как выполнить на роутерах я предствляю, сделать тунель
Затем если наши сетки совпадают с двух сторон, то я бы действовал так Сначала определил бы по каким айпи мы будем общаться 1. Например Организация А пропишет у себа ip route 11.11.11.1 через тунель гре 2. На Стороне организации Б я бы сделал статик нат, отправил бы пакеты которые идут на 11.11.11.1 к 10.10.10.1 3. На Стороне Организации Б сделал бы ip route 12.12.12.1 через тунель гре 4. Сделать статик нат на Стороне А который бы форвадил пакеты назначенные 12.12.12.1 в 10.10.10.1 В итоге я бы получил, возможность работы ПК с одинаковыми ИП адресами, просто Организация А писалабы хост как 11.11.11.1, а организация Б писалабы хост 12.12.12.1 я как то так понимаю... Но на асе не так понятно, там какие то протектед нетворк и екстернел нетворк.... когда создаешь Site to Site VPN
0
|
860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,117
|
|
22.05.2014, 20:30 | 4 |
А так там еще и адреса одинаковые могут быть?
Тогда как вы таблицы маршрутизации узлов представляете?
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
26.05.2014, 11:01 [ТС] | 5 |
Продолжаем, сильно не пинайте
ASA 1 object network LOCAL subnet 192.168.1.0 255.255.255.0 object network LOCAL-MAPPED subnet 192.168.20.0 255.255.255.0 object network REMOTE-MAPPED subnet 192.168.10.0 255.255.255.0 nat (inside,outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED access-list l2l extended permit ip object LOCAL-MAPPED object REMOTE-MAPPED crypto ipsec ikev1 transform-set STRONG esp-aes-256 esp-sha-hmac crypto ikev1 policy 10 authentication pre-share encryption aes-256 hash sha group 2 crypto map CMAP 10 match address l2l crypto map CMAP 10 set peer 10.1.1.1 crypto map CMAP 10 set ikev1 transform-set STRONG crypto map CMAP int outside crypto ikev1 enable outside tunnel-group 10.1.1.1 type ipsec-l2l tunnel-group 10.1.1.1 ipsec-attributes ikev1 pre-shared-key cisco ASA2 object network LOCAL subnet 192.168.1.0 255.255.255.0 object network LOCAL-MAPPED subnet 192.168.10.0 255.255.255.0 object network REMOTE-MAPPED subnet 192.168.20.0 255.255.255.0 nat (inside,outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED access-list l2l extended permit ip object LOCAL-MAPPED object REMOTE-MAPPED crypto ipsec ikev1 transform-set STRONG esp-aes-256 esp-sha-hmac crypto ikev1 policy 10 authentication pre-share encryption aes-256 hash sha group 2 crypto map CMAP 10 match address l2l crypto map CMAP 10 set peer 10.1.2.1 crypto map CMAP 10 set ikev1 transform-set STRONG crypto map CMAP int outside crypto ikev1 enable outside tunnel-group 10.1.2.1 type ipsec-l2l tunnel-group 10.1.2.1 ipsec-attributes ikev1 pre-shared-key cisco При такой конфигурации, я добиваюсь того, что пингуя 192.168.1.1 я пингую локальный роутер, а если пингую 192.168.20.1\192.168.10.1 то уже противоположный Результат достигнут, с перекрытием сетей НО! не могу понять.... 1. Как сделать, тоже самое, но для такой схемы сети. 2. Нужно иметь доступ только p2p между этими компами ( то есть только 2 ПК из этих сетей могут общаться ) остальные ПК, даже из этого же диапазона, не должны проходить через тунель. Куда копать?
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
26.05.2014, 13:56 [ТС] | 6 |
немного разобрался...
ASA1 Кликните здесь для просмотра всего текста
class-map inspection_default
match default-inspection-traffic policy-map global_policy class inspection_default inspect icmp service-policy global_policy global object network LOCAL subnet 10.100.10.2 255.255.255.255 object network LOCAL-MAPPED subnet 192.168.20.1 255.255.255.255 object network REMOTE-MAPPED subnet 192.168.10.1 255.255.255.255 nat (inside,outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED access-list l2l extended permit ip object LOCAL-MAPPED object REMOTE-MAPPED crypto ipsec ikev1 transform-set STRONG esp-aes-256 esp-sha-hmac crypto ikev1 policy 10 authentication pre-share encryption aes-256 hash sha group 2 exit crypto map CMAP 10 match address l2l crypto map CMAP 10 set peer 192.168.5.1 crypto map CMAP 10 set ikev1 transform-set STRONG crypto map CMAP int outside crypto ikev1 enable outside tunnel-group 192.168.5.1 type ipsec-l2l tunnel-group 192.168.5.1 ipsec-attributes ikev1 pre-shared-key cisco ASA2 Кликните здесь для просмотра всего текста
class-map inspection_default
match default-inspection-traffic policy-map global_policy class inspection_default inspect icmp service-policy global_policy global object network LOCAL subnet 10.100.10.2 255.255.255.255 object network LOCAL-MAPPED subnet 192.168.10.1 255.255.255.255 object network REMOTE-MAPPED subnet 192.168.20.1 255.255.255.255 nat (inside,outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED access-list l2l extended permit ip object LOCAL-MAPPED object REMOTE-MAPPED crypto ipsec ikev1 transform-set STRONG esp-aes-256 esp-sha-hmac crypto ikev1 policy 10 authentication pre-share encryption aes-256 hash sha group 2 exit crypto map CMAP 10 match address l2l crypto map CMAP 10 set peer 192.168.1.2 crypto map CMAP 10 set ikev1 transform-set STRONG crypto map CMAP int outside crypto ikev1 enable outside tunnel-group 192.168.1.2 type ipsec-l2l tunnel-group 192.168.1.2 ipsec-attributes ikev1 pre-shared-key cisco но с CL2 не пингуется... 192.168.20.1.... а CL1 все ок.. где косяк? на ASA2 ciscoasa# show nat Manual NAT Policies (Section 1) 1 (inside) to (outside) source static LOCAL LOCAL-MAPPED destination static REMOTE-MAPPED REMOTE-MAPPED translate_hits = 24, untranslate_hits = 87
0
|
81 / 81 / 7
Регистрация: 07.12.2012
Сообщений: 540
|
|
27.05.2014, 11:39 [ТС] | 7 |
Всем спасибо, разобрался. Основным камнем предкновения был АКЛ, очередность отработки сначала NAT правило, только потом ACL
Поэтому в ACL нужно указывать сеть не реальную, а в какую будем транслировать для другой стороны.
0
|
27.05.2014, 11:39 | |
27.05.2014, 11:39 | |
Помогаю со студенческими работами здесь
7
Пересекающиеся сети туннеля site-to-site между Cisco ASA и TMG Troubleshooting Site to site VNP между маршрутизатором и ASA Доступ в интернет через Site-to-Site VPN? CISCO Site-to-Site VPN по сертификатам Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |