Un po 'di pianificazione della configurazione' cintura e bretelle '.
Sfondo:
Abbiamo un collegamento VPN da sito a sito riuscito al nostro datacenter remoto.
La rete "protetta" remota è anche la gamma di reti IP che viene aperta attraverso il firewall come endpoint Internet.
Pertanto : utilizziamo la VPN in modo da poter accedere agli endpoint non pubblici.
Dichiarazione del problema :
Se il collegamento VPN è inattivo, ASA interrompe il traffico, anche se gli endpoint Internet dovrebbero essere ancora disponibili tramite il firewall remoto.
Domanda :
Come posso configurare la VPN per "passare" il traffico come traffico in uscita regolare, quando la VPN è inattiva.
Ecco i segmenti pertinenti della configurazione.
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
L'ACL per la corrispondenza del traffico è molto primitivo: specifica le due reti, privata e remota, espresse come oggetti di rete.
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
E un diagramma primitivo.
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
Grazie
rapinare
Aggiornamento 01
Un ACL più preciso è stato discusso nei commenti seguenti (con ringraziamenti)
Posso immaginare due ACLS. (A) che consente TUTTO alla rete remota e quindi nega gli endpoint già disponibili su Internet. e (B) che apre solo la gestione / strumentazione come richiesto.
Il problema con (B) è che esprimere endpoint come WMI e Windows RPC non è pratico senza modificare la configurazione del server standard)
Quindi, forse (A) è l'approccio migliore che diventa un contrario della configurazione del firewall remoto .
Aggiornamento 02
Mike ha chiesto di vedere di più sulla configurazione iOS di ASA.
Quello che segue è per l'HQ ASA che si trova nel sito HQ. Quello DC remoto è sotto il controllo del provider del data center, quindi non posso commentare esattamente come può essere configurato.
Bene, non c'è molto da mostrare: esiste un percorso predefinito al gateway Internet e nessun altro percorso specifico.
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
Le interfacce sono molto semplici. Solo configurazione e vlans IPv4 di base per dividere il gruppo in 1 interfaccia esterna e 1 interfaccia interna.
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
Saluti, Rob