Имеется АСА5510 для Головного а также 871 роутеры для 30 точек.
На АСЕ имметя 2 канала связи, основной и резервный.Как лучше организовать свзяь чтобы при падении основного впн было переключение на резервное, как бы лучше это организовать?
В данное время на АСЕ поднят CISCO easy vpn server, а у клиентов (871) easy vpn client, потому что там есть возможность прописывать несколько айпи для подключения. Однако возникла проблема, с ГО невозможно войти ни на 1 машину клиента т.к. айпи выдается только маршрутке клиента а все клиенсткие ПК через нат проходят.
Спасибо за ответ.
как вариант: DMVPN + OSPF
> Имеется АСА5510 для Головного а также 871 роутеры для 30 точек.
> На АСЕ имметя 2 канала связи, основной и резервный.
> Как лучше организовать свзяь чтобы при падении основного впн было переключение на
> резервное, как бы лучше это организовать?
> В данное время на АСЕ поднят CISCO easy vpn server, а у
> клиентов (871) easy vpn client, потому что там есть возможность прописывать
> несколько айпи для подключения. Однако возникла проблема, с ГО невозможно войти
> ни на 1 машину клиента т.к. айпи выдается только маршрутке клиента
> а все клиенсткие ПК через нат проходят.
> Спасибо за ответ.Вот тут я ничего не понял:
> Однако возникла проблема, с ГО невозможно войти
> ни на 1 машину клиента т.к. айпи выдается только маршрутке клиента
> а все клиенсткие ПК через нат проходят???Если то что я понял (судя по всему mode client настроен на 871) то можно сделать следующее:
1. включить mode network-extension на профайле у easy vpn клиента, соответственно подготовить 5510 - ну допустим включить реверс моде и роутмапой затянуть полученные анонсы в маршрутизацию, в случае если АСА не являеться дефаулт гетвеем, (хотя и тут есть косяк :)) индусы никак не пофиксят что бы редистрибьюция проходила корректно).
2. Явно запретить в ацл на НАТ натить ИП которые пренадлежат ГО (871 есть такие грабли)
>[оверквотинг удален]
>> а все клиенсткие ПК через нат проходят???
> Если то что я понял (судя по всему mode client настроен на
> 871) то можно сделать следующее:
> 1. включить mode network-extension на профайле у easy vpn клиента, соответственно подготовить
> 5510 - ну допустим включить реверс моде и роутмапой затянуть полученные
> анонсы в маршрутизацию, в случае если АСА не являеться дефаулт гетвеем,
> (хотя и тут есть косяк :)) индусы никак не пофиксят что
> бы редистрибьюция проходила корректно).
> 2. Явно запретить в ацл на НАТ натить ИП которые пренадлежат ГО
> (871 есть такие грабли)а можно кусочек конфига?
> а можно кусочек конфига?клиент (LAN 10.10.32.1/24)--(WAN 10.0.1.3/24)
на клиенте
crypto ipsec client ezvpn VPN-AXAins
connect auto
group XXXXXXXX key XXXXXXXXX
mode network-extension !Это важно - информация о данной подсети передаеться на VPN server в вашем случае 5510
peer 10.0.1.1
peer 10.0.1.254Проверяем конект
XXXX#sh crypto session
Crypto session current statusInterface: GigabitEthernet0/0
Session status: UP-ACTIVE
Peer: 10.0.1.1 port 500
IKE SA: local 10.0.1.3/500 remote 10.0.1.1/500 Active
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.30.0/255.255.255.0 !вот это сетки ГО которые получает клиент 871 с помощью сплит туннелига все остальное рулиться в НАТ на клиенте
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.31.0/255.255.255.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.32.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.64.0/255.255.255.0
Active SAs: 0, origin: crypto map
IPSEC FLOW: permit ip 10.10.32.0/255.255.255.0 192.168.65.0/255.255.255.0
Active SAs: 0, origin: crypto mapне забываем настроить сплит-туннелинг на ВПН концентратор (ГО сети )
так тут порядок
Далее переходим на сам ВПН концентратор (у меня ASA 5550). Обязательно включаем Reverse Route - включаю с граф морды поскольку АСОвый шел считаю крайне неудобным в отличии от роутерного :)))послу установки клиентом впн соединения смотрит на ВПН концентраторе
ASA5550-1# sh route WANCodes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static routeGateway of last resort is 192.168.31.1 to network 0.0.0.0
C 10.0.1.0 255.255.255.0 is directly connected, WANTOP-NET
S 10.10.38.48 255.255.255.240 [1/0] via 10.0.1.7, WAN
S 10.10.32.0 255.255.255.0 [1/0] via 10.0.1.3, WAN !Теперь сетка отделения появилась на VPN концентраторе как стат. маршрут
S 10.10.34.0 255.255.255.192 [1/0] via 10.0.1.13, WAN
S 10.10.36.0 255.255.255.224 [1/0] via 10.0.1.5, WAN
S 10.10.37.0 255.255.255.128 [1/0] via 10.0.1.10, WAN
S 10.10.39.0 255.255.255.192 [1/0] via 10.0.1.2, WAN
S 10.10.35.192 255.255.255.192 [1/0] via 10.0.1.4, WAN
S 192.168.1.0 255.255.255.0 [1/0] via 10.0.1.9, WANну а дальше анонсируем через роутмапу.
проверка допустим ping 10.10.32.5 из внутренней сети головного офиса
>[оверквотинг удален]
> S 10.10.32.0 255.255.255.0 [1/0] via 10.0.1.3, WAN
> !Теперь сетка отделения появилась на VPN концентраторе как стат. маршрут
> S 10.10.34.0 255.255.255.192 [1/0] via 10.0.1.13, WAN
> S 10.10.36.0 255.255.255.224 [1/0] via 10.0.1.5, WAN
> S 10.10.37.0 255.255.255.128 [1/0] via 10.0.1.10, WAN
> S 10.10.39.0 255.255.255.192 [1/0] via 10.0.1.2, WAN
> S 10.10.35.192 255.255.255.192 [1/0] via 10.0.1.4, WAN
> S 192.168.1.0 255.255.255.0 [1/0] via 10.0.1.9, WAN
> ну а дальше анонсируем через роутмапу.
> проверка допустим ping 10.10.32.5 из внутренней сети головного офисаСпасибо работает, но у меня другой вопрос.
Как сделать так чтобы клиентская циска (871) сама соединялась с удаленным хостом?
в настройках все стоит, однако чтобы установить связь приходиться заходиьт через СДМ и делать коннект.crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group AAAAAAAA key ******
mode network-plus
peer X.X.X.X
acl 100
virtual-interface 2
username mmmm password mmmm
xauth userid mode local
>[оверквотинг удален]
> и делать коннект.
> crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
> connect auto
> group AAAAAAAA key ******
> mode network-plus
> peer X.X.X.X
> acl 100
> virtual-interface 2
> username mmmm password mmmm
> xauth userid mode localконфиг 871 покажи полностью
> конфиг 871 покажи полностьюCurrent configuration : 3510 bytes
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname sok
!
boot-start-marker
boot-end-marker
!
logging buffered 52000 debugging
enable secret 5 secret_password
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
!
resource policy
!
ip subnet-zero
ip cef
!
!
!
!
ip domain name a
!
!
crypto pki trustpoint TP-self-signed-143551526
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-143551526
revocation-check none
rsakeypair TP-self-signed-143551526
!
!
crypto pki certificate chain TP-self-signed-143551526
certificate self-signed 01username username1 privilege 15 password 0 password1
!
!
!
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
connect auto
group GROUP key GROUP_PASS
mode network-plus
peer BB.BB.BB.BB
acl 100
virtual-interface 2
username username1 password password1
xauth userid mode local
!
!
!
!
interface Loopback0
ip address XX.XX.XX.XX MM.MM.MM.MM
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address YY.YY.YY.YY MM.MM.MM.MM
duplex auto
speed auto
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1
!
interface Virtual-Template2 type tunnel
no ip address
tunnel mode ipsec ipv4
!
interface Vlan1
ip address ZZ.ZZ.ZZ.ZZ MM.MM.MM.MM
crypto ipsec client ezvpn SDM_EZVPN_CLIENT_1 inside
!
ip classless
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.YZ
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 600 life 86400 requests 10000
!
access-list 100 remark SDM_ACL Category=4
access-list 100 permit ip AA.AA.AA.AA 0.0.0.255 any
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
transport input telnet ssh
!
scheduler max-task-time 5000
end
AA.AA.AA.AA - удаленная локальная сеть (ASA 5510)
XX.XX.XX.XX - айпи который дается с АСЫ 5510 после подключения и который привязан там к айпишнику
YY.YY.YY.YY - WAN ip
YY.YY.YY.YZ - гейтвей WAN
ZZ.ZZ.ZZ.ZZ - локальная сеть
BB.BB.BB.BB - внешний айпи удаленного EZVPN сервера (ASA 5510)
my skype: bad_char
> my skype: bad_charаськи нет?