ASA i OSPF Temat rozwiązany

Problemy związane z routingiem
Wiadomość
Autor
ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

ASA i OSPF

#1

#1 Post autor: ukaszq »

Witam,
Mam ASA 5508X, skonfigurowany VPN S2S z routerem 881. VPN działa prawidłowo. Chcę uruchomić OSPF na ASA i na routerze 881. Jeśli od strony OSPF na routerze jest wszystko OK, to na ASA mam problem. Moja konfiguracja poniżej. Gig 1/1 to wyjście na swiat, z adres IP providera. Ustawiłem autoryzację OSPF z routerem 881.

Kod: Zaznacz cały

interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.XXX.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast
 ospf message-digest-key 10 md5 *****
!

route outside 0.0.0.0 0.0.0.0 213.216.XXX.XXX 1

router ospf 100
 router-id 9.9.9.9
 network 10.226.156.0 255.255.255.0 area 0
 log-adj-changes
!  
Kiedy chcę dodać na router ospf neighbor
neighbor 195.150.XX.XX (adres mojego routera 881) interface outside

To otrzymuję komunikat:

ERROR: Neighbor command will take effect only after OSPF is enabled
and network-type is configured on the interface

Proszę o pomoc.

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA i OSPF

#2

#2 Post autor: frontier »

No bo nie masz uruchomionego OSPF na Gi1/1?
Jeden konfig wart więcej niż tysiąc słów

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#3

#3 Post autor: ukaszq »

Sprawdzilem w dokumentacji i nie moge znalezc opcji na temat wlaczenia int w ospf.

https://www.cisco.com/c/en/us/td/docs/s ... _ospf.html

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#4

#4 Post autor: ukaszq »

Już zrozumialem, dziekuje za pomoc :)

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#5

#5 Post autor: ukaszq »

Wracam jeszcze raz do tego tematu i proszę o pomoc, bo nie mogę sobie poradzić z tym routingiem. Nie z samym routingiem, bo jest dla mnie to zrozumiałe. Konkretnie chodzi mi o nawiązanie sąsiedztwa OSPF pomiędzy dwoma urządzeniami ASA i routerem 881. Utworzyłem VPNS2S pomiędzy ASA i routerem za pomocą IPSEC. Pomiędzy routerem a ASA jest "internet".
VPN działa prawidłowo, połączenie jest zestawione. Kiedy próbuję nawiązać sąsiedztwo przez ospf, nie udaje mi się. Nie wiem co robię źle.
Moim celem jest rozgłoszenie koło 15 podsieci na routerze 881.

Router:

Kod: Zaznacz cały

interface FastEthernet4
 ip address 195.150.12.XX 255.255.255.248
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip ospf network non-broadcast
 duplex auto
 speed auto
 no cdp enable
 crypto map outside_map

router ospf 20
 router-id 10.10.10.10
 network 195.150.12.XX 0.0.0.7 area 10
 neighbor 213.216.110.XXX
ASA

Kod: Zaznacz cały


interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.110.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast

router ospf 20
 router-id 11.11.11.11
 network 213.216.110.XXX 255.255.255.248 area 10
 neighbor 195.150.12.XX interface outside
 log-adj-changes
!

crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 195.150.12.XX 
crypto map outside_map 10 set ikev1 transform-set XXXXX
crypto map outside_map interface outside

nat (VPN-Branches,outside) source static local-network-vpn local-network-vpn destination static remote-network-vpn remote-network-vpn no-proxy-arp route-lookup

access-list asa-router-vpn extended permit ip object-group local-network-vpn object-group remote-network-vpn 
access-list asa-router-vpn extended permit ospf interface outside host 195.150.12.XX 
Proszę o pomoc!

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ASA i OSPF

#6

#6 Post autor: qligowski »

nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 138
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#7

#7 Post autor: zet69 »

Czesc,
zmien na routerze

Kod: Zaznacz cały

ip ospf network non-broadcast
na

Kod: Zaznacz cały

ip ospf network point-to-multipoint non-broadcast
Dodatkowo chyba bedziesz musial pozmieniac timery dla OSPF, bo ASA uzywa innych dla tego typu sieci. Zobacz co masz w debug, wydaje mi sie ze na routerze bedziesz musial dodatkowo ustawic:

Kod: Zaznacz cały

 ip ospf dead-interval 40
 ip ospf hello-interval 10
Jak nie bedzie dzialac podaj

Kod: Zaznacz cały

 crypto map outside_map

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 138
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#8

#8 Post autor: zet69 »

qligowski pisze: 30 paź 2017, 15:58 nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.
da sie ;)

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ASA i OSPF

#9

#9 Post autor: qligowski »

Jak ? Chyba ze z uzyciem VTI ?

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#10

#10 Post autor: ukaszq »

Dodałem te opcje do interface i dalej nie mogę nawiązać sąsiedztwa.

W debug widzę hello z ASA do routera:

Kod: Zaznacz cały

OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
Na routerze:

Kod: Zaznacz cały

*Oct 31 12:58:50.209: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
*Oct 31 12:58:59.561: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
Moje crypto:

Kod: Zaznacz cały

crypto map outside_map 10 ipsec-isakmp
 set peer 213.216.110.XXX
 set transform-set XXX
 match address 120
 
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.10.99.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.156.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.158.0 0.0.0.255
access-list 120 permit ospf any any

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 138
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#11

#11 Post autor: zet69 »

Na ruterze widac ze hello wysylasz na adres multicast a powinienes na adres ASA 213.216.110.XX. Pokombinuj z opcjami na ruterze ip ospf network type.

Mi cos takiego dzialalo bez problemu, ale miedzy dwoma ASA'mi. Moze trzeba cos bardziej poklikac na samym ruterze. Opcja z ttl dla ospf nie ma tutaj znaczenia, bo hello pchasz do tunelu IPSec i pierwszym hop'em jest urzadzenie po drugiej stronie tunelu.

ukaszq
wannabe
wannabe
Posty: 149
Rejestracja: 12 cze 2011, 21:53

Re: ASA i OSPF

#12

#12 Post autor: ukaszq »

Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.

Konfiguracja portu na switchu do którego jest podłączony router:

Kod: Zaznacz cały

interface GigabitEthernet1/0/20
 switchport access vlan 752
 switchport mode access
 no cdp enable
 spanning-tree portfast
 

Awatar użytkownika
zet69
wannabe
wannabe
Posty: 138
Rejestracja: 20 cze 2007, 08:53

Re: ASA i OSPF

#13

#13 Post autor: zet69 »

ukaszq pisze: 02 lis 2017, 12:26 Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.
Nie, z tego co pokazales w poprzednim poscie to problem z konfiguracja rutera. Wysyla hello na adres multicast a powinien na adres ASA.

Ewentualnie jesli potrzebujesz zapinac w tunelu jakis protokół routingu, mozesz pobawic sie z BGP. Tunelujesz port tcp 179 i bedzie z pewnoscia dzialac miedzy roznymi vendorami czy tez samymi urzadzeniami jednoego vendora (miedzy cisco router <-> asa, dziala na 100%).

dave7
newbie
newbie
Posty: 1
Rejestracja: 08 lis 2017, 23:00

Re: ASA i OSPF

#14

#14 Post autor: dave7 »

Miałem to samo. Już jest ok.

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: ASA i OSPF

#15

#15 Post autor: Bolo »

Wynalazki tego typu bym sobie darował i robił wg standardu. Jesli IPSEC to GRE i dopiero OSPF :)

ODPOWIEDZ