Strona 1 z 1

ASA i OSPF

: 17 paź 2017, 10:41
autor: ukaszq
Witam,
Mam ASA 5508X, skonfigurowany VPN S2S z routerem 881. VPN działa prawidłowo. Chcę uruchomić OSPF na ASA i na routerze 881. Jeśli od strony OSPF na routerze jest wszystko OK, to na ASA mam problem. Moja konfiguracja poniżej. Gig 1/1 to wyjście na swiat, z adres IP providera. Ustawiłem autoryzację OSPF z routerem 881.

Kod: Zaznacz cały

interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.XXX.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast
 ospf message-digest-key 10 md5 *****
!

route outside 0.0.0.0 0.0.0.0 213.216.XXX.XXX 1

router ospf 100
 router-id 9.9.9.9
 network 10.226.156.0 255.255.255.0 area 0
 log-adj-changes
!  
Kiedy chcę dodać na router ospf neighbor
neighbor 195.150.XX.XX (adres mojego routera 881) interface outside

To otrzymuję komunikat:

ERROR: Neighbor command will take effect only after OSPF is enabled
and network-type is configured on the interface

Proszę o pomoc.

Re: ASA i OSPF

: 17 paź 2017, 10:55
autor: frontier
No bo nie masz uruchomionego OSPF na Gi1/1?

Re: ASA i OSPF

: 17 paź 2017, 12:04
autor: ukaszq
Sprawdzilem w dokumentacji i nie moge znalezc opcji na temat wlaczenia int w ospf.

https://www.cisco.com/c/en/us/td/docs/s ... _ospf.html

Re: ASA i OSPF

: 17 paź 2017, 12:29
autor: ukaszq
Już zrozumialem, dziekuje za pomoc :)

Re: ASA i OSPF

: 30 paź 2017, 13:13
autor: ukaszq
Wracam jeszcze raz do tego tematu i proszę o pomoc, bo nie mogę sobie poradzić z tym routingiem. Nie z samym routingiem, bo jest dla mnie to zrozumiałe. Konkretnie chodzi mi o nawiązanie sąsiedztwa OSPF pomiędzy dwoma urządzeniami ASA i routerem 881. Utworzyłem VPNS2S pomiędzy ASA i routerem za pomocą IPSEC. Pomiędzy routerem a ASA jest "internet".
VPN działa prawidłowo, połączenie jest zestawione. Kiedy próbuję nawiązać sąsiedztwo przez ospf, nie udaje mi się. Nie wiem co robię źle.
Moim celem jest rozgłoszenie koło 15 podsieci na routerze 881.

Router:

Kod: Zaznacz cały

interface FastEthernet4
 ip address 195.150.12.XX 255.255.255.248
 no ip redirects
 no ip proxy-arp
 ip nat outside
 ip virtual-reassembly in
 ip ospf network non-broadcast
 duplex auto
 speed auto
 no cdp enable
 crypto map outside_map

router ospf 20
 router-id 10.10.10.10
 network 195.150.12.XX 0.0.0.7 area 10
 neighbor 213.216.110.XXX
ASA

Kod: Zaznacz cały


interface GigabitEthernet1/1
 duplex full
 nameif outside
 security-level 0
 ip address 213.216.110.XXX 255.255.255.248 
 ospf network point-to-point non-broadcast

router ospf 20
 router-id 11.11.11.11
 network 213.216.110.XXX 255.255.255.248 area 10
 neighbor 195.150.12.XX interface outside
 log-adj-changes
!

crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 195.150.12.XX 
crypto map outside_map 10 set ikev1 transform-set XXXXX
crypto map outside_map interface outside

nat (VPN-Branches,outside) source static local-network-vpn local-network-vpn destination static remote-network-vpn remote-network-vpn no-proxy-arp route-lookup

access-list asa-router-vpn extended permit ip object-group local-network-vpn object-group remote-network-vpn 
access-list asa-router-vpn extended permit ospf interface outside host 195.150.12.XX 
Proszę o pomoc!

Re: ASA i OSPF

: 30 paź 2017, 15:58
autor: qligowski
nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.

Re: ASA i OSPF

: 30 paź 2017, 16:32
autor: zet69
Czesc,
zmien na routerze

Kod: Zaznacz cały

ip ospf network non-broadcast
na

Kod: Zaznacz cały

ip ospf network point-to-multipoint non-broadcast
Dodatkowo chyba bedziesz musial pozmieniac timery dla OSPF, bo ASA uzywa innych dla tego typu sieci. Zobacz co masz w debug, wydaje mi sie ze na routerze bedziesz musial dodatkowo ustawic:

Kod: Zaznacz cały

 ip ospf dead-interval 40
 ip ospf hello-interval 10
Jak nie bedzie dzialac podaj

Kod: Zaznacz cały

 crypto map outside_map

Re: ASA i OSPF

: 30 paź 2017, 16:32
autor: zet69
qligowski pisze: 30 paź 2017, 15:58 nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.
da sie ;)

Re: ASA i OSPF

: 31 paź 2017, 12:52
autor: qligowski
Jak ? Chyba ze z uzyciem VTI ?

Re: ASA i OSPF

: 31 paź 2017, 14:19
autor: ukaszq
Dodałem te opcje do interface i dalej nie mogę nawiązać sąsiedztwa.

W debug widzę hello z ASA do routera:

Kod: Zaznacz cały

OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
Na routerze:

Kod: Zaznacz cały

*Oct 31 12:58:50.209: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
*Oct 31 12:58:59.561: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
Moje crypto:

Kod: Zaznacz cały

crypto map outside_map 10 ipsec-isakmp
 set peer 213.216.110.XXX
 set transform-set XXX
 match address 120
 
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.10.99.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.156.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.158.0 0.0.0.255
access-list 120 permit ospf any any

Re: ASA i OSPF

: 31 paź 2017, 15:19
autor: zet69
Na ruterze widac ze hello wysylasz na adres multicast a powinienes na adres ASA 213.216.110.XX. Pokombinuj z opcjami na ruterze ip ospf network type.

Mi cos takiego dzialalo bez problemu, ale miedzy dwoma ASA'mi. Moze trzeba cos bardziej poklikac na samym ruterze. Opcja z ttl dla ospf nie ma tutaj znaczenia, bo hello pchasz do tunelu IPSec i pierwszym hop'em jest urzadzenie po drugiej stronie tunelu.

Re: ASA i OSPF

: 02 lis 2017, 12:26
autor: ukaszq
Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.

Konfiguracja portu na switchu do którego jest podłączony router:

Kod: Zaznacz cały

interface GigabitEthernet1/0/20
 switchport access vlan 752
 switchport mode access
 no cdp enable
 spanning-tree portfast
 

Re: ASA i OSPF

: 03 lis 2017, 14:23
autor: zet69
ukaszq pisze: 02 lis 2017, 12:26 Dziękuje!

Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.
Nie, z tego co pokazales w poprzednim poscie to problem z konfiguracja rutera. Wysyla hello na adres multicast a powinien na adres ASA.

Ewentualnie jesli potrzebujesz zapinac w tunelu jakis protokół routingu, mozesz pobawic sie z BGP. Tunelujesz port tcp 179 i bedzie z pewnoscia dzialac miedzy roznymi vendorami czy tez samymi urzadzeniami jednoego vendora (miedzy cisco router <-> asa, dziala na 100%).

Re: ASA i OSPF

: 08 lis 2017, 23:02
autor: dave7
Miałem to samo. Już jest ok.

Re: ASA i OSPF

: 18 wrz 2018, 12:12
autor: Bolo
Wynalazki tego typu bym sobie darował i robił wg standardu. Jesli IPSEC to GRE i dopiero OSPF :)