Strona 1 z 1
ASA i OSPF
: 17 paź 2017, 10:41
autor: ukaszq
Witam,
Mam ASA 5508X, skonfigurowany VPN S2S z routerem 881. VPN działa prawidłowo. Chcę uruchomić OSPF na ASA i na routerze 881. Jeśli od strony OSPF na routerze jest wszystko OK, to na ASA mam problem. Moja konfiguracja poniżej. Gig 1/1 to wyjście na swiat, z adres IP providera. Ustawiłem autoryzację OSPF z routerem 881.
Kod: Zaznacz cały
interface GigabitEthernet1/1
duplex full
nameif outside
security-level 0
ip address 213.216.XXX.XXX 255.255.255.248
ospf network point-to-point non-broadcast
ospf message-digest-key 10 md5 *****
!
route outside 0.0.0.0 0.0.0.0 213.216.XXX.XXX 1
router ospf 100
router-id 9.9.9.9
network 10.226.156.0 255.255.255.0 area 0
log-adj-changes
!
Kiedy chcę dodać na router ospf neighbor
neighbor 195.150.XX.XX (adres mojego routera 881) interface outside
To otrzymuję komunikat:
ERROR: Neighbor command will take effect only after OSPF is enabled
and network-type is configured on the interface
Proszę o pomoc.
Re: ASA i OSPF
: 17 paź 2017, 10:55
autor: frontier
No bo nie masz uruchomionego OSPF na Gi1/1?
Re: ASA i OSPF
: 17 paź 2017, 12:04
autor: ukaszq
Sprawdzilem w dokumentacji i nie moge znalezc opcji na temat wlaczenia int w ospf.
https://www.cisco.com/c/en/us/td/docs/s ... _ospf.html
Re: ASA i OSPF
: 17 paź 2017, 12:29
autor: ukaszq
Już zrozumialem, dziekuje za pomoc
Re: ASA i OSPF
: 30 paź 2017, 13:13
autor: ukaszq
Wracam jeszcze raz do tego tematu i proszę o pomoc, bo nie mogę sobie poradzić z tym routingiem. Nie z samym routingiem, bo jest dla mnie to zrozumiałe. Konkretnie chodzi mi o nawiązanie sąsiedztwa OSPF pomiędzy dwoma urządzeniami ASA i routerem 881. Utworzyłem VPNS2S pomiędzy ASA i routerem za pomocą IPSEC. Pomiędzy routerem a ASA jest "internet".
VPN działa prawidłowo, połączenie jest zestawione. Kiedy próbuję nawiązać sąsiedztwo przez ospf, nie udaje mi się. Nie wiem co robię źle.
Moim celem jest rozgłoszenie koło 15 podsieci na routerze 881.
Router:
Kod: Zaznacz cały
interface FastEthernet4
ip address 195.150.12.XX 255.255.255.248
no ip redirects
no ip proxy-arp
ip nat outside
ip virtual-reassembly in
ip ospf network non-broadcast
duplex auto
speed auto
no cdp enable
crypto map outside_map
router ospf 20
router-id 10.10.10.10
network 195.150.12.XX 0.0.0.7 area 10
neighbor 213.216.110.XXX
ASA
Kod: Zaznacz cały
interface GigabitEthernet1/1
duplex full
nameif outside
security-level 0
ip address 213.216.110.XXX 255.255.255.248
ospf network point-to-point non-broadcast
router ospf 20
router-id 11.11.11.11
network 213.216.110.XXX 255.255.255.248 area 10
neighbor 195.150.12.XX interface outside
log-adj-changes
!
crypto map outside_map 10 match address asa-router-vpn
crypto map outside_map 10 set peer 195.150.12.XX
crypto map outside_map 10 set ikev1 transform-set XXXXX
crypto map outside_map interface outside
nat (VPN-Branches,outside) source static local-network-vpn local-network-vpn destination static remote-network-vpn remote-network-vpn no-proxy-arp route-lookup
access-list asa-router-vpn extended permit ip object-group local-network-vpn object-group remote-network-vpn
access-list asa-router-vpn extended permit ospf interface outside host 195.150.12.XX
Proszę o pomoc!
Re: ASA i OSPF
: 30 paź 2017, 15:58
autor: qligowski
nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.
Re: ASA i OSPF
: 30 paź 2017, 16:32
autor: zet69
Czesc,
zmien na routerze
na
Kod: Zaznacz cały
ip ospf network point-to-multipoint non-broadcast
Dodatkowo chyba bedziesz musial pozmieniac timery dla OSPF, bo ASA uzywa innych dla tego typu sieci. Zobacz co masz w debug, wydaje mi sie ze na routerze bedziesz musial dodatkowo ustawic:
Kod: Zaznacz cały
ip ospf dead-interval 40
ip ospf hello-interval 10
Jak nie bedzie dzialac podaj
Re: ASA i OSPF
: 30 paź 2017, 16:32
autor: zet69
qligowski pisze: ↑30 paź 2017, 15:58
nie da sie chyba zestawic OSPF przez sam IPSEC. Musisz miec tunel GRE, poniewaz TTL OSPF jest 1 i sasiedzi musza byc 'directly connected'.
da sie
Re: ASA i OSPF
: 31 paź 2017, 12:52
autor: qligowski
Jak ? Chyba ze z uzyciem VTI ?
Re: ASA i OSPF
: 31 paź 2017, 14:19
autor: ukaszq
Dodałem te opcje do interface i dalej nie mogę nawiązać sąsiedztwa.
W debug widzę hello z ASA do routera:
Kod: Zaznacz cały
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
OSPF: Send hello to 195.150.12.XX area 10 on outside from 213.216.110.XX
Na routerze:
Kod: Zaznacz cały
*Oct 31 12:58:50.209: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
*Oct 31 12:58:59.561: OSPF-20 HELLO NV0: Send hello to 224.0.0.5 area 10 from 0.0.0.0
Moje crypto:
Kod: Zaznacz cały
crypto map outside_map 10 ipsec-isakmp
set peer 213.216.110.XXX
set transform-set XXX
match address 120
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.10.99.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.156.0 0.0.0.255
access-list 120 permit ip 10.10.98.0 0.0.0.255 10.226.158.0 0.0.0.255
access-list 120 permit ospf any any
Re: ASA i OSPF
: 31 paź 2017, 15:19
autor: zet69
Na ruterze widac ze hello wysylasz na adres multicast a powinienes na adres ASA 213.216.110.XX. Pokombinuj z opcjami na ruterze ip ospf network type.
Mi cos takiego dzialalo bez problemu, ale miedzy dwoma ASA'mi. Moze trzeba cos bardziej poklikac na samym ruterze. Opcja z ttl dla ospf nie ma tutaj znaczenia, bo hello pchasz do tunelu IPSec i pierwszym hop'em jest urzadzenie po drugiej stronie tunelu.
Re: ASA i OSPF
: 02 lis 2017, 12:26
autor: ukaszq
Dziękuje!
Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.
Konfiguracja portu na switchu do którego jest podłączony router:
Kod: Zaznacz cały
interface GigabitEthernet1/0/20
switchport access vlan 752
switchport mode access
no cdp enable
spanning-tree portfast
Re: ASA i OSPF
: 03 lis 2017, 14:23
autor: zet69
ukaszq pisze: ↑02 lis 2017, 12:26
Dziękuje!
Mam pytanie, czy ten problem może dotyczyć tego, że mój router jest podłączony do switcha Cisco 2960X na dedykowanym VLANie który przejmuje provider?? Switch jest po mojej stronie.
Nie, z tego co pokazales w poprzednim poscie to problem z konfiguracja rutera. Wysyla hello na adres multicast a powinien na adres ASA.
Ewentualnie jesli potrzebujesz zapinac w tunelu jakis protokół routingu, mozesz pobawic sie z BGP. Tunelujesz port tcp 179 i bedzie z pewnoscia dzialac miedzy roznymi vendorami czy tez samymi urzadzeniami jednoego vendora (miedzy cisco router <-> asa, dziala na 100%).
Re: ASA i OSPF
: 08 lis 2017, 23:02
autor: dave7
Miałem to samo. Już jest ok.
Re: ASA i OSPF
: 18 wrz 2018, 12:12
autor: Bolo
Wynalazki tego typu bym sobie darował i robił wg standardu. Jesli IPSEC to GRE i dopiero OSPF