URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1194
[ Назад ]

Исходное сообщение
"VPN на ASA (интернет через ipsec)"
Отправлено unit , 21-Янв-14 12:01

Доброго времени суток!
Задача и, собственно говоря, проблема в том что мне надо выпускать трафик через VPN. Но сделать это нужно по схеме :
router -> ASA ->(tun ipsec)-> ASA -> internet!!!
Использовал я для этого site-to-site, но беда в том, что при настройке данного типа VPN трафик пробрасывается из КОНКРЕТНОЙ сети в КОНКРЕТНУЮ, а мне нужен весь интернет, то есть далеко не конкретная сеть...
Есть какие-нибудь соображения по этому поводу? Может возможен другой подход?
Уважаемые профессионалы поделитесь опытом)

Содержание

VPN на ASA (интернет через ipsec),spiegel, 12:28 , 21-Янв-14
- VPN на ASA (интернет через ipsec),unit, 13:44 , 21-Янв-14
  - VPN на ASA (интернет через ipsec),spiegel, 15:01 , 21-Янв-14
    - VPN на ASA (интернет через ipsec),unit, 16:39 , 21-Янв-14
  - VPN на ASA (интернет через ipsec),GolDi, 17:54 , 21-Янв-14
    - VPN на ASA (интернет через ipsec),unit, 08:34 , 22-Янв-14
      - VPN на ASA (интернет через ipsec),GolDi, 09:28 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 09:58 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),GolDi, 10:10 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 10:31 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 10:33 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),GolDi, 10:56 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),spiegel, 14:35 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 08:37 , 23-Янв-14
        VPN на ASA (интернет через ipsec),unit, 08:55 , 24-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 10:52 , 25-Янв-14
        
        VPN на ASA (интернет через ipsec),GolDi, 09:06 , 27-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 11:27 , 03-Фев-14
        
        VPN на ASA (интернет через ipsec),unit, 14:50 , 22-Янв-14
        
        VPN на ASA (интернет через ipsec),unit, 14:52 , 22-Янв-14

Сообщения в этом обсуждении

"VPN на ASA (интернет через ipsec)"
Отправлено spiegel , 21-Янв-14 12:28

> Доброго времени суток!
> Задача и, собственно говоря, проблема в том что мне надо выпускать трафик
> через VPN. Но сделать это нужно по схеме :
> router -> ASA ->(tun ipsec)-> ASA -> internet!!!
> Использовал я для этого site-to-site, но беда в том, что при настройке
> данного типа VPN трафик пробрасывается из КОНКРЕТНОЙ сети в КОНКРЕТНУЮ, а
> мне нужен весь интернет, то есть далеко не конкретная сеть...
> Есть какие-нибудь соображения по этому поводу? Может возможен другой подход?
> Уважаемые профессионалы поделитесь опытом)
На АСЕ:
crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
crypto map internet 1 match address internet
crypto map internet 1 set peer x.x.x.x
crypto map internet 1 set transform-set ESP-3des-SHA
crypto map internet interface outside
access-list internet extended permit ip local_ip any
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key secret
На другой асе аналогично

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 21-Янв-14 13:44

>[оверквотинг удален]
> crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
> crypto map internet 1 match address internet
> crypto map internet 1 set peer x.x.x.x
> crypto map internet 1 set transform-set ESP-3des-SHA
> crypto map internet interface outside
> access-list internet extended permit ip local_ip any
> tunnel-group x.x.x.x type ipsec-l2l
> tunnel-group x.x.x.x ipsec-attributes
> pre-shared-key secret
> На другой асе аналогично
Я пробывал ставить "any" и в таком случае тунель не поднимался

"VPN на ASA (интернет через ipsec)"
Отправлено spiegel , 21-Янв-14 15:01

>[оверквотинг удален]
>> crypto map internet 1 match address internet
>> crypto map internet 1 set peer x.x.x.x
>> crypto map internet 1 set transform-set ESP-3des-SHA
>> crypto map internet interface outside
>> access-list internet extended permit ip local_ip any
>> tunnel-group x.x.x.x type ipsec-l2l
>> tunnel-group x.x.x.x ipsec-attributes
>> pre-shared-key secret
>> На другой асе аналогично
> Я пробывал ставить "any" и в таком случае тунель не поднимался
А в конфиге есть crypto isakmp enable outside ?
И еще, crypto isakmp policy совпадают?

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 21-Янв-14 16:39

>> Я пробывал ставить "any" и в таком случае тунель не поднимался
> А в конфиге есть crypto isakmp enable outside ?
> И еще, crypto isakmp policy совпадают?
У меня получается с тунель по схеме
pc1 <-> ASA1 <->(tun ipsec)<-> ASA2 <-> pc2
В этом случае я пишу acl "из сети pc1 в сеть pc2" на ASA1 и соответственно наоборот на ASA2
Если оставить все как есть и поменять acl "из сети pc1 в any" на ASA1 и соответственно наоборот на ASA2 то тунель не поднимается...

"VPN на ASA (интернет через ipsec)"
Отправлено GolDi , 21-Янв-14 17:54

>[оверквотинг удален]
>> crypto map internet 1 match address internet
>> crypto map internet 1 set peer x.x.x.x
>> crypto map internet 1 set transform-set ESP-3des-SHA
>> crypto map internet interface outside
>> access-list internet extended permit ip local_ip any
>> tunnel-group x.x.x.x type ipsec-l2l
>> tunnel-group x.x.x.x ipsec-attributes
>> pre-shared-key secret
>> На другой асе аналогично
> Я пробывал ставить "any" и в таком случае тунель не поднимался
А как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 22-Янв-14 08:34

>[оверквотинг удален]
>>> crypto map internet 1 set peer x.x.x.x
>>> crypto map internet 1 set transform-set ESP-3des-SHA
>>> crypto map internet interface outside
>>> access-list internet extended permit ip local_ip any
>>> tunnel-group x.x.x.x type ipsec-l2l
>>> tunnel-group x.x.x.x ipsec-attributes
>>> pre-shared-key secret
>>> На другой асе аналогично
>> Я пробывал ставить "any" и в таком случае тунель не поднимался
> А как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?
Если рассматривать вот эту схему:
pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in 10.10.10.1) <--> pc2(10.10.10.2)
то на ASA1:
route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
на ASA2:
route outside 0.0.0.0 0.0.0.0 1.1.1.1 1

"VPN на ASA (интернет через ipsec)"
Отправлено GolDi , 22-Янв-14 09:28

>[оверквотинг удален]
>>>> На другой асе аналогично
>>> Я пробывал ставить "any" и в таком случае тунель не поднимался
>> А как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?
> Если рассматривать вот эту схему:
> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in
> 10.10.10.1) <--> pc2(10.10.10.2)
> то на ASA1:
> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
> на ASA2:
> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
Эта схема работает?

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 22-Янв-14 09:58

>> Если рассматривать вот эту схему:
>> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in
>> 10.10.10.1) <--> pc2(10.10.10.2)
>> то на ASA1:
>> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
>> на ASA2:
>> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
> Эта схема работает?
Да, тут все работает. Проблема в том, как pc1 вывести в интернет через тунель между двух ASA...
В итоге должна заработать схема
pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in
>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET

"VPN на ASA (интернет через ipsec)"
Отправлено GolDi , 22-Янв-14 10:10

>[оверквотинг удален]
>>> то на ASA1:
>>> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
>>> на ASA2:
>>> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
>> Эта схема работает?
> Да, тут все работает. Проблема в том, как pc1 вывести в интернет
> через тунель между двух ASA...
> В итоге должна заработать схема
> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in
>>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET
на ASA2
route outside 192.168.100.0 255.255.255.0 1.1.1.1 1
route inside 0.0.0.0 0.0.0.0 10.10.10.2 1
ну и на роутере должны быть маршруты.
как-то так

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 22-Янв-14 10:31

>> В итоге должна заработать схема
>> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in
>>>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET
> на ASA2
> route outside 192.168.100.0 255.255.255.0 1.1.1.1 1
> route inside 0.0.0.0 0.0.0.0 10.10.10.2 1
> ну и на роутере должны быть маршруты.
> как-то так
На ASA2 route я такое прописывал.
Может быть в nat'e дело.
На роутере зачем маршруты? На ASA2 настроен NAT:
nat (inside) 1 192.168.100.0 255.255.255.0
global (outside) 1 interface
соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как один адрес (10.10.10.1)

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 22-Янв-14 10:33

> На ASA2 route я такое прописывал.
> Может быть в nat'e дело.
> На роутере зачем маршруты? На ASA2 настроен NAT:
> nat (inside) 1 192.168.100.0 255.255.255.0
> global (outside) 1 interface
> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как
> один адрес (10.10.10.1)
А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно в тунель закидывать...или я не прав?

"VPN на ASA (интернет через ipsec)"
Отправлено GolDi , 22-Янв-14 10:56

>> На ASA2 route я такое прописывал.
>> Может быть в nat'e дело.
>> На роутере зачем маршруты? На ASA2 настроен NAT:
>> nat (inside) 1 192.168.100.0 255.255.255.0
>> global (outside) 1 interface
>> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как
>> один адрес (10.10.10.1)
> А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно
> в тунель закидывать...или я не прав?
debug можно посмотреть

"VPN на ASA (интернет через ipsec)"
Отправлено spiegel , 22-Янв-14 14:35

похоже аса может только lan-to-lan ipsec. Тогда надо добавить роутер перед первой аса, поднять обычный туннель между двумя роутерами, а уже на асах зашифровать трафик по этим туннелям. При этом на асе в списке шифрования прописать адреса ip туннелей роутеров:
crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
crypto map internet 1 match address internet
crypto map internet 1 set peer x.x.x.x
crypto map internet 1 set transform-set ESP-3des-SHA
crypto map internet interface outside
access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key secret

crypto isakmp policy 1
.............

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 23-Янв-14 08:37

>[оверквотинг удален]
> crypto map internet 1 match address internet
> crypto map internet 1 set peer x.x.x.x
> crypto map internet 1 set transform-set ESP-3des-SHA
> crypto map internet interface outside
> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
> tunnel-group x.x.x.x type ipsec-l2l
> tunnel-group x.x.x.x ipsec-attributes
> pre-shared-key secret
> crypto isakmp policy 1
> .............
Вчера не заметил этого ответа. Спасибо за вариант решения! Но в этом случае нужно четыре внешних ip(R1,R2,ASA1,ASA2) для меня это, к сожалению,пока не реализуемо...

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 24-Янв-14 08:55

>[оверквотинг удален]
> crypto map internet 1 match address internet
> crypto map internet 1 set peer x.x.x.x
> crypto map internet 1 set transform-set ESP-3des-SHA
> crypto map internet interface outside
> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
> tunnel-group x.x.x.x type ipsec-l2l
> tunnel-group x.x.x.x ipsec-attributes
> pre-shared-key secret
> crypto isakmp policy 1
> .............
Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах расположить?

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 25-Янв-14 10:52

>[оверквотинг удален]
>> crypto map internet 1 set transform-set ESP-3des-SHA
>> crypto map internet interface outside
>> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
>> tunnel-group x.x.x.x type ipsec-l2l
>> tunnel-group x.x.x.x ipsec-attributes
>> pre-shared-key secret
>> crypto isakmp policy 1
>> .............
> Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах
> расположить?
Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )

"VPN на ASA (интернет через ipsec)"
Отправлено GolDi , 27-Янв-14 09:06

>[оверквотинг удален]
>>> crypto map internet interface outside
>>> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
>>> tunnel-group x.x.x.x type ipsec-l2l
>>> tunnel-group x.x.x.x ipsec-attributes
>>> pre-shared-key secret
>>> crypto isakmp policy 1
>>> .............
>> Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах
>> расположить?
> Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )
И в чём же была причина?

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 03-Фев-14 11:27

>> Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )
> И в чём же была причина?
Как изначально хотел, не получилось, но вариант с маршрутизаторами, предложенны выше, нормально прошел, его и использую )

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 22-Янв-14 14:50

>>> На ASA2 route я такое прописывал.
>>> Может быть в nat'e дело.
>>> На роутере зачем маршруты? На ASA2 настроен NAT:
>>> nat (inside) 1 192.168.100.0 255.255.255.0
>>> global (outside) 1 interface
>>> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как
>>> один адрес (10.10.10.1)
>> А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно
>> в тунель закидывать...или я не прав?
> debug можно посмотреть
Drop-reason: (ipsec-spoof) IPSEC Spoof detected

"VPN на ASA (интернет через ipsec)"
Отправлено unit , 22-Янв-14 14:52

>> debug можно посмотреть
> Drop-reason: (ipsec-spoof) IPSEC Spoof detected
Это вообще возможно, через ipsec site-to-site выходить в интернет?