forum.opennet.ru - "VPN на ASA (интернет через ipsec)" (20)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"VPN на ASA (интернет через ipsec)"

Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"VPN на ASA (интернет через ipsec)"	+/–
Сообщение от unit (ok) on 21-Янв-14, 12:01
Доброго времени суток! Задача и, собственно говоря, проблема в том что мне надо выпускать трафик через VPN. Но сделать это нужно по схеме : router -> ASA ->(tun ipsec)-> ASA -> internet!!! Использовал я для этого site-to-site, но беда в том, что при настройке данного типа VPN трафик пробрасывается из КОНКРЕТНОЙ сети в КОНКРЕТНУЮ, а мне нужен весь интернет, то есть далеко не конкретная сеть... Есть какие-нибудь соображения по этому поводу? Может возможен другой подход? Уважаемые профессионалы поделитесь опытом)
Ответить \| Правка \| Cообщить модератору

Оглавление

VPN на ASA (интернет через ipsec), spiegel, 12:28 , 21-Янв-14, (1)

VPN на ASA (интернет через ipsec), unit, 13:44 , 21-Янв-14, (2)

VPN на ASA (интернет через ipsec), spiegel, 15:01 , 21-Янв-14, (3)

VPN на ASA (интернет через ipsec), unit, 16:39 , 21-Янв-14, (4)

VPN на ASA (интернет через ipsec), GolDi, 17:54 , 21-Янв-14, (5)

VPN на ASA (интернет через ipsec), unit, 08:34 , 22-Янв-14, (6)

VPN на ASA (интернет через ipsec), GolDi, 09:28 , 22-Янв-14, (7)

VPN на ASA (интернет через ipsec), unit, 09:58 , 22-Янв-14, (8)

VPN на ASA (интернет через ipsec), GolDi, 10:10 , 22-Янв-14, (9)

VPN на ASA (интернет через ipsec), unit, 10:31 , 22-Янв-14, (10)

VPN на ASA (интернет через ipsec), unit, 10:33 , 22-Янв-14, (11)

VPN на ASA (интернет через ipsec), GolDi, 10:56 , 22-Янв-14, (12)

VPN на ASA (интернет через ipsec), spiegel, 14:35 , 22-Янв-14, (13)

VPN на ASA (интернет через ipsec), unit, 08:37 , 23-Янв-14, (16)
VPN на ASA (интернет через ipsec), unit, 08:55 , 24-Янв-14, (17)
VPN на ASA (интернет через ipsec), unit, 10:52 , 25-Янв-14, (18)
VPN на ASA (интернет через ipsec), GolDi, 09:06 , 27-Янв-14, (19)
VPN на ASA (интернет через ipsec), unit, 11:27 , 03-Фев-14, (20)

VPN на ASA (интернет через ipsec), unit, 14:50 , 22-Янв-14, (14)

VPN на ASA (интернет через ipsec), unit, 14:52 , 22-Янв-14, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от spiegel (ok) on 21-Янв-14, 12:28

> Доброго времени суток!
> Задача и, собственно говоря, проблема в том что мне надо выпускать трафик
> через VPN. Но сделать это нужно по схеме :
> router -> ASA ->(tun ipsec)-> ASA -> internet!!!
> Использовал я для этого site-to-site, но беда в том, что при настройке
> данного типа VPN трафик пробрасывается из КОНКРЕТНОЙ сети в КОНКРЕТНУЮ, а
> мне нужен весь интернет, то есть далеко не конкретная сеть...
> Есть какие-нибудь соображения по этому поводу? Может возможен другой подход?
> Уважаемые профессионалы поделитесь опытом)
На АСЕ:
crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
crypto map internet 1 match address internet
crypto map internet 1 set peer x.x.x.x
crypto map internet 1 set transform-set ESP-3des-SHA
crypto map internet interface outside
access-list internet extended permit ip local_ip any
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key secret
На другой асе аналогично

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 21-Янв-14, 13:44

>[оверквотинг удален]
> crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
> crypto map internet 1 match address internet
> crypto map internet 1 set peer x.x.x.x
> crypto map internet 1 set transform-set ESP-3des-SHA
> crypto map internet interface outside
> access-list internet extended permit ip local_ip any
> tunnel-group x.x.x.x type ipsec-l2l
> tunnel-group x.x.x.x ipsec-attributes
>  pre-shared-key secret
> На другой асе аналогично
Я пробывал ставить "any" и в таком случае тунель не поднимался

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от spiegel (ok) on 21-Янв-14, 15:01

>[оверквотинг удален]
>> crypto map internet 1 match address internet
>> crypto map internet 1 set peer x.x.x.x
>> crypto map internet 1 set transform-set ESP-3des-SHA
>> crypto map internet interface outside
>> access-list internet extended permit ip local_ip any
>> tunnel-group x.x.x.x type ipsec-l2l
>> tunnel-group x.x.x.x ipsec-attributes
>>  pre-shared-key secret
>> На другой асе аналогично
> Я пробывал ставить "any" и в таком случае тунель не поднимался
А в конфиге есть crypto isakmp enable outside ?
И еще, crypto isakmp policy совпадают?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 21-Янв-14, 16:39

>> Я пробывал ставить "any" и в таком случае тунель не поднимался
> А в конфиге есть crypto isakmp enable outside ?
> И еще, crypto isakmp policy совпадают?
У меня получается с тунель по схеме
pc1 <-> ASA1 <->(tun ipsec)<-> ASA2 <-> pc2
В этом случае я пишу acl "из сети pc1 в сеть pc2" на ASA1 и соответственно наоборот на ASA2
Если оставить все как есть и поменять acl "из сети pc1 в any" на ASA1 и соответственно наоборот на ASA2 то тунель не поднимается...

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от GolDi (??) on 21-Янв-14, 17:54

>[оверквотинг удален]
>> crypto map internet 1 match address internet
>> crypto map internet 1 set peer x.x.x.x
>> crypto map internet 1 set transform-set ESP-3des-SHA
>> crypto map internet interface outside
>> access-list internet extended permit ip local_ip any
>> tunnel-group x.x.x.x type ipsec-l2l
>> tunnel-group x.x.x.x ipsec-attributes
>>  pre-shared-key secret
>> На другой асе аналогично
> Я пробывал ставить "any" и в таком случае тунель не поднимался
А  как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 22-Янв-14, 08:34

>[оверквотинг удален]
>>> crypto map internet 1 set peer x.x.x.x
>>> crypto map internet 1 set transform-set ESP-3des-SHA
>>> crypto map internet interface outside
>>> access-list internet extended permit ip local_ip any
>>> tunnel-group x.x.x.x type ipsec-l2l
>>> tunnel-group x.x.x.x ipsec-attributes
>>>  pre-shared-key secret
>>> На другой асе аналогично
>> Я пробывал ставить "any" и в таком случае тунель не поднимался
>  А  как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?
Если рассматривать вот эту схему:
pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in 10.10.10.1) <--> pc2(10.10.10.2)
то на ASA1:
route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
на ASA2:
route outside 0.0.0.0 0.0.0.0 1.1.1.1 1

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от GolDi (??) on 22-Янв-14, 09:28

>[оверквотинг удален]
>>>> На другой асе аналогично
>>> Я пробывал ставить "any" и в таком случае тунель не поднимался
>>  А  как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?
> Если рассматривать вот эту схему:
> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in
> 10.10.10.1) <--> pc2(10.10.10.2)
> то на ASA1:
> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
> на ASA2:
> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
Эта схема работает?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 22-Янв-14, 09:58

>> Если рассматривать вот эту схему:
>> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in
>> 10.10.10.1) <--> pc2(10.10.10.2)
>> то на ASA1:
>> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
>> на ASA2:
>> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
> Эта схема работает?
Да, тут все работает. Проблема в том, как pc1 вывести в интернет через тунель между двух ASA...
В итоге должна заработать схема
pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in
>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от GolDi (??) on 22-Янв-14, 10:10

>[оверквотинг удален]
>>> то на ASA1:
>>> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1
>>> на ASA2:
>>> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
>> Эта схема работает?
> Да, тут все работает. Проблема в том, как pc1 вывести в интернет
> через тунель между двух ASA...
> В итоге должна заработать схема
> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in
>>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET
на ASA2
route outside 192.168.100.0 255.255.255.0 1.1.1.1 1
route inside 0.0.0.0 0.0.0.0 10.10.10.2 1
ну и на роутере должны быть маршруты.
как-то так

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 22-Янв-14, 10:31

>> В итоге должна заработать схема
>> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in
>>>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET
> на ASA2
> route outside 192.168.100.0 255.255.255.0 1.1.1.1 1
> route inside 0.0.0.0 0.0.0.0 10.10.10.2 1
> ну и на роутере должны быть маршруты.
> как-то так
На ASA2 route я такое прописывал.
Может быть в nat'e дело.
На роутере зачем маршруты? На ASA2 настроен NAT:
nat (inside) 1 192.168.100.0 255.255.255.0
global (outside) 1 interface
соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как один адрес (10.10.10.1)

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 22-Янв-14, 10:33

> На ASA2 route я такое прописывал.
> Может быть в nat'e дело.
> На роутере зачем маршруты? На ASA2 настроен NAT:
> nat (inside) 1 192.168.100.0 255.255.255.0
> global (outside) 1 interface
> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как
> один адрес (10.10.10.1)
А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно в тунель закидывать...или я не прав?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от GolDi (??) on 22-Янв-14, 10:56

>> На ASA2 route я такое прописывал.
>> Может быть в nat'e дело.
>> На роутере зачем маршруты? На ASA2 настроен NAT:
>> nat (inside) 1 192.168.100.0 255.255.255.0
>> global (outside) 1 interface
>> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как
>> один адрес (10.10.10.1)
> А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно
> в тунель закидывать...или я не прав?
debug  можно посмотреть

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от spiegel (ok) on 22-Янв-14, 14:35

похоже аса может только lan-to-lan ipsec. Тогда надо добавить роутер перед первой аса, поднять обычный туннель между двумя роутерами, а уже на асах зашифровать трафик по этим туннелям. При этом на асе в списке шифрования прописать адреса ip туннелей роутеров:
crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac
crypto map internet 1 match address internet
crypto map internet 1 set peer x.x.x.x
crypto map internet 1 set transform-set ESP-3des-SHA
crypto map internet interface outside
access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
tunnel-group x.x.x.x type ipsec-l2l
tunnel-group x.x.x.x ipsec-attributes
pre-shared-key secret

crypto isakmp policy 1
.............

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 23-Янв-14, 08:37

>[оверквотинг удален]
> crypto map internet 1 match address internet
> crypto map internet 1 set peer x.x.x.x
> crypto map internet 1 set transform-set ESP-3des-SHA
> crypto map internet interface outside
> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
> tunnel-group x.x.x.x type ipsec-l2l
> tunnel-group x.x.x.x ipsec-attributes
> pre-shared-key secret
> crypto isakmp policy 1
> .............
Вчера не заметил этого ответа. Спасибо за вариант решения! Но в этом случае нужно четыре внешних ip(R1,R2,ASA1,ASA2) для меня это, к сожалению,пока не реализуемо...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 24-Янв-14, 08:55

>[оверквотинг удален]
> crypto map internet 1 match address internet
> crypto map internet 1 set peer x.x.x.x
> crypto map internet 1 set transform-set ESP-3des-SHA
> crypto map internet interface outside
> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
> tunnel-group x.x.x.x type ipsec-l2l
> tunnel-group x.x.x.x ipsec-attributes
> pre-shared-key secret
> crypto isakmp policy 1
> .............
Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах расположить?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 25-Янв-14, 10:52

>[оверквотинг удален]
>> crypto map internet 1 set transform-set ESP-3des-SHA
>> crypto map internet interface outside
>> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
>> tunnel-group x.x.x.x type ipsec-l2l
>> tunnel-group x.x.x.x ipsec-attributes
>> pre-shared-key secret
>> crypto isakmp policy 1
>> .............
> Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах
> расположить?
Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от GolDi (??) on 27-Янв-14, 09:06

>[оверквотинг удален]
>>> crypto map internet interface outside
>>> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2
>>> tunnel-group x.x.x.x type ipsec-l2l
>>> tunnel-group x.x.x.x ipsec-attributes
>>> pre-shared-key secret
>>> crypto isakmp policy 1
>>> .............
>> Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах
>> расположить?
> Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )
И в чём же была причина?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 03-Фев-14, 11:27

>> Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )
> И в чём же была причина?
Как изначально хотел, не получилось, но вариант с маршрутизаторами, предложенны выше, нормально прошел, его и использую )

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

14. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 22-Янв-14, 14:50

>>> На ASA2 route я такое прописывал.
>>> Может быть в nat'e дело.
>>> На роутере зачем маршруты? На ASA2 настроен NAT:
>>> nat (inside) 1 192.168.100.0 255.255.255.0
>>> global (outside) 1 interface
>>> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как
>>> один адрес (10.10.10.1)
>> А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно
>> в тунель закидывать...или я не прав?
> debug  можно посмотреть
Drop-reason: (ipsec-spoof) IPSEC Spoof detected

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "VPN на ASA (интернет через ipsec)" +/–

Сообщение от unit (ok) on 22-Янв-14, 14:52

>> debug  можно посмотреть
> Drop-reason: (ipsec-spoof) IPSEC Spoof detected
Это вообще возможно, через ipsec site-to-site выходить в интернет?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "VPN на ASA (интернет через ipsec)"	+/–
Сообщение от spiegel (ok) on 21-Янв-14, 12:28
> Доброго времени суток! > Задача и, собственно говоря, проблема в том что мне надо выпускать трафик > через VPN. Но сделать это нужно по схеме : > router -> ASA ->(tun ipsec)-> ASA -> internet!!! > Использовал я для этого site-to-site, но беда в том, что при настройке > данного типа VPN трафик пробрасывается из КОНКРЕТНОЙ сети в КОНКРЕТНУЮ, а > мне нужен весь интернет, то есть далеко не конкретная сеть... > Есть какие-нибудь соображения по этому поводу? Может возможен другой подход? > Уважаемые профессионалы поделитесь опытом) На АСЕ: crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac crypto map internet 1 match address internet crypto map internet 1 set peer x.x.x.x crypto map internet 1 set transform-set ESP-3des-SHA crypto map internet interface outside access-list internet extended permit ip local_ip any tunnel-group x.x.x.x type ipsec-l2l tunnel-group x.x.x.x ipsec-attributes pre-shared-key secret На другой асе аналогично
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 21-Янв-14, 13:44
	>[оверквотинг удален] > crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac > crypto map internet 1 match address internet > crypto map internet 1 set peer x.x.x.x > crypto map internet 1 set transform-set ESP-3des-SHA > crypto map internet interface outside > access-list internet extended permit ip local_ip any > tunnel-group x.x.x.x type ipsec-l2l > tunnel-group x.x.x.x ipsec-attributes > pre-shared-key secret > На другой асе аналогично Я пробывал ставить "any" и в таком случае тунель не поднимался
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от spiegel (ok) on 21-Янв-14, 15:01
	>[оверквотинг удален] >> crypto map internet 1 match address internet >> crypto map internet 1 set peer x.x.x.x >> crypto map internet 1 set transform-set ESP-3des-SHA >> crypto map internet interface outside >> access-list internet extended permit ip local_ip any >> tunnel-group x.x.x.x type ipsec-l2l >> tunnel-group x.x.x.x ipsec-attributes >> pre-shared-key secret >> На другой асе аналогично > Я пробывал ставить "any" и в таком случае тунель не поднимался А в конфиге есть crypto isakmp enable outside ? И еще, crypto isakmp policy совпадают?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 21-Янв-14, 16:39
	>> Я пробывал ставить "any" и в таком случае тунель не поднимался > А в конфиге есть crypto isakmp enable outside ? > И еще, crypto isakmp policy совпадают? У меня получается с тунель по схеме pc1 <-> ASA1 <->(tun ipsec)<-> ASA2 <-> pc2 В этом случае я пишу acl "из сети pc1 в сеть pc2" на ASA1 и соответственно наоборот на ASA2 Если оставить все как есть и поменять acl "из сети pc1 в any" на ASA1 и соответственно наоборот на ASA2 то тунель не поднимается...
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от GolDi (??) on 21-Янв-14, 17:54
	>[оверквотинг удален] >> crypto map internet 1 match address internet >> crypto map internet 1 set peer x.x.x.x >> crypto map internet 1 set transform-set ESP-3des-SHA >> crypto map internet interface outside >> access-list internet extended permit ip local_ip any >> tunnel-group x.x.x.x type ipsec-l2l >> tunnel-group x.x.x.x ipsec-attributes >> pre-shared-key secret >> На другой асе аналогично > Я пробывал ставить "any" и в таком случае тунель не поднимался А как прописана маршрутизации на asa1? 0.0.0.0 куда прописан?
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	6. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 22-Янв-14, 08:34
	>[оверквотинг удален] >>> crypto map internet 1 set peer x.x.x.x >>> crypto map internet 1 set transform-set ESP-3des-SHA >>> crypto map internet interface outside >>> access-list internet extended permit ip local_ip any >>> tunnel-group x.x.x.x type ipsec-l2l >>> tunnel-group x.x.x.x ipsec-attributes >>> pre-shared-key secret >>> На другой асе аналогично >> Я пробывал ставить "any" и в таком случае тунель не поднимался > А как прописана маршрутизации на asa1? 0.0.0.0 куда прописан? Если рассматривать вот эту схему: pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in 10.10.10.1) <--> pc2(10.10.10.2) то на ASA1: route outside 0.0.0.0 0.0.0.0 1.1.1.2 1 на ASA2: route outside 0.0.0.0 0.0.0.0 1.1.1.1 1
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от GolDi (??) on 22-Янв-14, 09:28
	>[оверквотинг удален] >>>> На другой асе аналогично >>> Я пробывал ставить "any" и в таком случае тунель не поднимался >> А как прописана маршрутизации на asa1? 0.0.0.0 куда прописан? > Если рассматривать вот эту схему: > pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in > 10.10.10.1) <--> pc2(10.10.10.2) > то на ASA1: > route outside 0.0.0.0 0.0.0.0 1.1.1.2 1 > на ASA2: > route outside 0.0.0.0 0.0.0.0 1.1.1.1 1 Эта схема работает?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 22-Янв-14, 09:58
	>> Если рассматривать вот эту схему: >> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(in >> 10.10.10.1) <--> pc2(10.10.10.2) >> то на ASA1: >> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1 >> на ASA2: >> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1 > Эта схема работает? Да, тут все работает. Проблема в том, как pc1 вывести в интернет через тунель между двух ASA... В итоге должна заработать схема pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in >> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от GolDi (??) on 22-Янв-14, 10:10
	>[оверквотинг удален] >>> то на ASA1: >>> route outside 0.0.0.0 0.0.0.0 1.1.1.2 1 >>> на ASA2: >>> route outside 0.0.0.0 0.0.0.0 1.1.1.1 1 >> Эта схема работает? > Да, тут все работает. Проблема в том, как pc1 вывести в интернет > через тунель между двух ASA... > В итоге должна заработать схема > pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in >>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET на ASA2 route outside 192.168.100.0 255.255.255.0 1.1.1.1 1 route inside 0.0.0.0 0.0.0.0 10.10.10.2 1 ну и на роутере должны быть маршруты. как-то так
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 22-Янв-14, 10:31
	>> В итоге должна заработать схема >> pc1(192.168.100.2) <--> (in 192.168.100.1)ASA1(out 1.1.1.1) <->(tun ipsec)<-> (out 1.1.1.2)ASA2(nat->in >>>> 10.10.10.1) <--> router(10.10.10.2)-->INTERNET > на ASA2 > route outside 192.168.100.0 255.255.255.0 1.1.1.1 1 > route inside 0.0.0.0 0.0.0.0 10.10.10.2 1 > ну и на роутере должны быть маршруты. > как-то так На ASA2 route я такое прописывал. Может быть в nat'e дело. На роутере зачем маршруты? На ASA2 настроен NAT: nat (inside) 1 192.168.100.0 255.255.255.0 global (outside) 1 interface соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как один адрес (10.10.10.1)
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 22-Янв-14, 10:33
	> На ASA2 route я такое прописывал. > Может быть в nat'e дело. > На роутере зачем маршруты? На ASA2 настроен NAT: > nat (inside) 1 192.168.100.0 255.255.255.0 > global (outside) 1 interface > соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как > один адрес (10.10.10.1) А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно в тунель закидывать...или я не прав?
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от GolDi (??) on 22-Янв-14, 10:56
	>> На ASA2 route я такое прописывал. >> Может быть в nat'e дело. >> На роутере зачем маршруты? На ASA2 настроен NAT: >> nat (inside) 1 192.168.100.0 255.255.255.0 >> global (outside) 1 interface >> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как >> один адрес (10.10.10.1) > А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно > в тунель закидывать...или я не прав? debug можно посмотреть
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от spiegel (ok) on 22-Янв-14, 14:35
	похоже аса может только lan-to-lan ipsec. Тогда надо добавить роутер перед первой аса, поднять обычный туннель между двумя роутерами, а уже на асах зашифровать трафик по этим туннелям. При этом на асе в списке шифрования прописать адреса ip туннелей роутеров: crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac crypto map internet 1 match address internet crypto map internet 1 set peer x.x.x.x crypto map internet 1 set transform-set ESP-3des-SHA crypto map internet interface outside access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 tunnel-group x.x.x.x type ipsec-l2l tunnel-group x.x.x.x ipsec-attributes pre-shared-key secret crypto isakmp policy 1 .............
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	16. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 23-Янв-14, 08:37
	>[оверквотинг удален] > crypto map internet 1 match address internet > crypto map internet 1 set peer x.x.x.x > crypto map internet 1 set transform-set ESP-3des-SHA > crypto map internet interface outside > access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 > tunnel-group x.x.x.x type ipsec-l2l > tunnel-group x.x.x.x ipsec-attributes > pre-shared-key secret > crypto isakmp policy 1 > ............. Вчера не заметил этого ответа. Спасибо за вариант решения! Но в этом случае нужно четыре внешних ip(R1,R2,ASA1,ASA2) для меня это, к сожалению,пока не реализуемо...
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	17. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 24-Янв-14, 08:55
	>[оверквотинг удален] > crypto map internet 1 match address internet > crypto map internet 1 set peer x.x.x.x > crypto map internet 1 set transform-set ESP-3des-SHA > crypto map internet interface outside > access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 > tunnel-group x.x.x.x type ipsec-l2l > tunnel-group x.x.x.x ipsec-attributes > pre-shared-key secret > crypto isakmp policy 1 > ............. Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах расположить?
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	18. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 25-Янв-14, 10:52
	>[оверквотинг удален] >> crypto map internet 1 set transform-set ESP-3des-SHA >> crypto map internet interface outside >> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 >> tunnel-group x.x.x.x type ipsec-l2l >> tunnel-group x.x.x.x ipsec-attributes >> pre-shared-key secret >> crypto isakmp policy 1 >> ............. > Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах > расположить? Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от GolDi (??) on 27-Янв-14, 09:06
	>[оверквотинг удален] >>> crypto map internet interface outside >>> access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 >>> tunnel-group x.x.x.x type ipsec-l2l >>> tunnel-group x.x.x.x ipsec-attributes >>> pre-shared-key secret >>> crypto isakmp policy 1 >>> ............. >> Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах >> расположить? > Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! ) И в чём же была причина?
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 03-Фев-14, 11:27
	>> Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! ) > И в чём же была причина? Как изначально хотел, не получилось, но вариант с маршрутизаторами, предложенны выше, нормально прошел, его и использую )
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	14. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 22-Янв-14, 14:50
	>>> На ASA2 route я такое прописывал. >>> Может быть в nat'e дело. >>> На роутере зачем маршруты? На ASA2 настроен NAT: >>> nat (inside) 1 192.168.100.0 255.255.255.0 >>> global (outside) 1 interface >>> соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как >>> один адрес (10.10.10.1) >> А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно >> в тунель закидывать...или я не прав? > debug можно посмотреть Drop-reason: (ipsec-spoof) IPSEC Spoof detected
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	15. "VPN на ASA (интернет через ipsec)"	+/–
	Сообщение от unit (ok) on 22-Янв-14, 14:52
	>> debug можно посмотреть > Drop-reason: (ipsec-spoof) IPSEC Spoof detected Это вообще возможно, через ipsec site-to-site выходить в интернет?
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору