ASA i OSPF Temat rozwiązany

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
ukaszq
wannabe
wannabe
Posty: 148
Rejestracja: 12 cze 2011, 21:53

ASA i OSPF

#1

#1 Post autor: ukaszq » 17 paź 2017, 10:41

Witam,
Mam ASA 5508X, skonfigurowany VPN S2S z routerem 881. VPN działa prawidłowo. Chcę uruchomić OSPF na ASA i na routerze 881. Jeśli od strony OSPF na routerze jest wszystko OK, to na ASA mam problem. Moja konfiguracja poniżej. Gig 1/1 to wyjście na swiat, z adres IP providera. Ustawiłem autoryzację OSPF z routerem 881.

Kod: Zaznacz cały

interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.XXX.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast
 ospf message-digest-key 10 md5 *****
!

route outside 0.0.0.0 0.0.0.0 213.216.XXX.XXX 1

router ospf 100
 router-id 9.9.9.9
 network 10.226.156.0 255.255.255.0 area 0
 log-adj-changes
!  
Kiedy chcę dodać na router ospf neighbor
neighbor 195.150.XX.XX (adres mojego routera 881) interface outside

To otrzymuję komunikat:

ERROR: Neighbor command will take effect only after OSPF is enabled
and network-type is configured on the interface

Proszę o pomoc.

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1839
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA i OSPF  Temat rozwiązany

#2

#2 Post autor: frontier » 17 paź 2017, 10:55

No bo nie masz uruchomionego OSPF na Gi1/1?
Jeden konfig wart więcej niż tysiąc słów

ukaszq
wannabe
wannabe
Posty: 148
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#3

#3 Post autor: ukaszq » 17 paź 2017, 12:04

Sprawdzilem w dokumentacji i nie moge znalezc opcji na temat wlaczenia int w ospf.

https://www.cisco.com/c/en/us/td/docs/s ... _ospf.html

ukaszq
wannabe
wannabe
Posty: 148
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#4

#4 Post autor: ukaszq » 17 paź 2017, 12:29

Już zrozumialem, dziekuje za pomoc :)

ukaszq
wannabe
wannabe
Posty: 148
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#5

#5 Post autor: ukaszq » 30 paź 2017, 13:13

Wracam jeszcze raz do tego tematu i proszę o pomoc, bo nie mogę sobie poradzić z tym routingiem. Nie z samym routingiem, bo jest dla mnie to zrozumiałe. Konkretnie chodzi mi o nawiązanie sąsiedztwa OSPF pomiędzy dwoma urządzeniami ASA i routerem 881. Utworzyłem VPNS2S pomiędzy ASA i routerem za pomocą IPSEC. Pomiędzy routerem a ASA jest "internet".
VPN działa prawidłowo, połączenie jest zestawione. Kiedy próbuję nawiązać sąsiedztwo przez ospf, nie udaje mi się. Nie wiem co robię źle.
Moim celem jest rozgłoszenie koło 15 podsieci na routerze 881.

Router:

Kod: Zaznacz cały

interface FastEthernet4
 ip address 195.150.12.XX 255.255.255.248
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip ospf network non-broadcast
 duplex auto
 speed auto
 no cdp enable
 crypto map outside_map

router ospf 20
 router-id 10.10.10.10
 network 195.150.12.XX 0.0.0.7 area 10
 neighbor 213.216.110.XXX
ASA

Kod: Zaznacz cały


interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.110.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast

router ospf 20
 router-id 11.11.11.11
 network 213.216.110.XXX 255.255.255.248 area 10
 neighbor 195.150.12.XX interface outside
 log-adj-changes
!

crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 195.150.12.XX 
crypto map outside_map 10 set ikev1 transform-set XXXXX
crypto map outside_map interface outside

nat (VPN-Branches,outside) source static local-network-vpn local-network-vpn destination static remote-network-vpn remote-network-vpn no-proxy-arp route-lookup

access-list asa-router-vpn extended permit ip object-group local-network-vpn object-group remote-network-vpn 
access-list asa-router-vpn extended permit ospf interface outside host 195.150.12.XX 
Proszę o pomoc!

qligowski
wannabe
wannabe
Posty: 183
Rejestracja: 16 maja 2014, 18:35

Re: ASA i OSPF

#6

#6 Post autor: qligowski » 30 paź 2017, 15:58

nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 137
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#7

#7 Post autor: zet69 » 30 paź 2017, 16:32

Czesc,
zmien na routerze

Kod: Zaznacz cały

ip ospf network non-broadcast
na

Kod: Zaznacz cały

ip ospf network point-to-multipoint non-broadcast
Dodatkowo chyba bedziesz musial pozmieniac timery dla OSPF, bo ASA uzywa innych dla tego typu sieci. Zobacz co masz w debug, wydaje mi sie ze na routerze bedziesz musial dodatkowo ustawic:

Kod: Zaznacz cały

 ip ospf dead-interval 40
 ip ospf hello-interval 10
Jak nie bedzie dzialac podaj

Kod: Zaznacz cały

 crypto map outside_map

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 137
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#8

#8 Post autor: zet69 » 30 paź 2017, 16:32

qligowski pisze:
30 paź 2017, 15:58
nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.
da sie ;)

qligowski
wannabe
wannabe
Posty: 183
Rejestracja: 16 maja 2014, 18:35

Re: ASA i OSPF

#9

#9 Post autor: qligowski » 31 paź 2017, 12:52

Jak ? Chyba ze z uzyciem VTI ?

ukaszq
wannabe
wannabe
Posty: 148
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#10

#10 Post autor: ukaszq » 31 paź 2017, 14:19

Dodałem te opcje do interface i dalej nie mogę nawiązać sąsiedztwa.

W debug widzę hello z ASA do routera:

Kod: Zaznacz cały

OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
Na routerze:

Kod: Zaznacz cały

*Oct 31 12:58:50.209: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
*Oct 31 12:58:59.561: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
Moje crypto:

Kod: Zaznacz cały

crypto map outside_map 10 ipsec-isakmp
 set peer 213.216.110.XXX
 set transform-set XXX
 match address 120
 
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.10.99.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.156.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.158.0 0.0.0.255
access-list 120 permit ospf any any

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 137
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#11

#11 Post autor: zet69 » 31 paź 2017, 15:19

Na ruterze widac ze hello wysylasz na adres multicast a powinienes na adres ASA 213.216.110.XX. Pokombinuj z opcjami na ruterze ip ospf network type.

Mi cos takiego dzialalo bez problemu, ale miedzy dwoma ASA'mi. Moze trzeba cos bardziej poklikac na samym ruterze. Opcja z ttl dla ospf nie ma tutaj znaczenia, bo hello pchasz do tunelu IPSec i pierwszym hop'em jest urzadzenie po drugiej stronie tunelu.

ukaszq
wannabe
wannabe
Posty: 148
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#12

#12 Post autor: ukaszq » 02 lis 2017, 12:26

Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.

Konfiguracja portu na switchu do którego jest podłączony router:

Kod: Zaznacz cały

interface GigabitEthernet1/0/20
 switchport access vlan 752
 switchport mode access
 no cdp enable
 spanning-tree portfast
 

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 137
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#13

#13 Post autor: zet69 » 03 lis 2017, 14:23

ukaszq pisze:
02 lis 2017, 12:26
Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.
Nie, z tego co pokazales w poprzednim poscie to problem z konfiguracja rutera. Wysyla hello na adres multicast a powinien na adres ASA.

Ewentualnie jesli potrzebujesz zapinac w tunelu jakis protokół routingu, mozesz pobawic sie z BGP. Tunelujesz port tcp 179 i bedzie z pewnoscia dzialac miedzy roznymi vendorami czy tez samymi urzadzeniami jednoego vendora (miedzy cisco router <-> asa, dziala na 100%).

dave7
newbie
newbie
Posty: 1
Rejestracja: 08 lis 2017, 23:00

Re: ASA i OSPF

#14

#14 Post autor: dave7 » 08 lis 2017, 23:02

Miałem to samo. Już jest ok.

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 617
Rejestracja: 27 wrz 2006, 10:02

Re: ASA i OSPF

#15

#15 Post autor: Bolo » 18 wrz 2018, 12:12

Wynalazki tego typu bym sobie darował i robił wg standardu. Jesli IPSEC to GRE i dopiero OSPF :)

ODPOWIEDZ