Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#1

#1 Post autor: norbo80 » 25 wrz 2018, 17:06

Dzien dobry. Mam dwie odrebne sieci w roznych lokalizacjach, kazda z nich zarzadaja firewalle Cisco ASA polaczone ze soba site-to-site VPN. Pierwsza lokalizacja jest w sieci nr.1 192.168.1.0/24 a druga
w sieci nr.2 192.168.2.0/24. Chialbym aby caly ruch sieci numer 1 przechodzil automatycznie przez VPN do firewallu w sieci numer 2 192.168.2.1. Probowalem utworzyc route (route inside 192.168.1.0 255.255.255.0 192.168.2.1 1 ) ale dostaje ciagle nastepujacy blad: "ERROR: Cannot add route, connected route exists" . Prawdopodobnie poprzez aktywne Site-to-Site VPN. Jak moge najlepiej osiagnac pozadany efekt?

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1511
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#2

#2 Post autor: drake » 25 wrz 2018, 21:56

Hej, jak bedziesz routowal ten ruch przez ASA ktora terminuje ten VPN i masz ruch miedzy tymi sieciami wylaczony z NAT (NAT exclusion / Identity NAT), to bedzie sie to dzialo automagicznie i zadne dodawanie tras statycznych na tych FW nie jest potrzebne.

Powodzenia :)
Never stop exploring :)

https://iverion.de

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#3

#3 Post autor: norbo80 » 25 wrz 2018, 22:58

Dziękuję za odpowiedź, niestety nie jestem zaawansowanym użytkownikiem Cisco i nie do końca rozumiem :) podczas konfiguracji S2S było do wyboru NAT Exempt i zaznaczyłem to jako aktywne an obydwu Firewallach dla sieci Inside.

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#4

#4 Post autor: norbo80 » 26 wrz 2018, 11:28

Moze jeszcze dodam, zechodzi takze o http, https w sieci nr. 1. Czyli jesli np. w klienta w sieci numer 1 wykonam tracert 8.8.8.8 to jeden hop musi byc 192.168.2.1.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1511
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#5

#5 Post autor: drake » 26 wrz 2018, 14:51

Hej,
zalezy "jaki" ruch chcesz pchac przez tunel VPN. Wizzardem pewnie zdefiniowales tylko VPN miedzy sieciami inside w dwoch lokalizacjach, co zapewne dziala. Jesli chcesz caly ruch pchac przez tunel (bo robisz traceroute do 8.8.8.8), to trzeba odpowiednio zmodyfikowac ACL (proxy ACL), ktora definiuje ruch szyfrowany. Uwazaj z "any" bo mozesz polozyc tunel (recursive routing). Jesli chcesz pchac wszystko przez VPN z jednej lokalizacji do drugiej, bo w tej drugiej jest np. lokalny internet breakout zabezpieczony FW/IPS etc etc, to musisz miec zdefiniowana trase statyczna dla peera IPSec przez twojego GW w danej site, zanim zmienisz proxy ACL dla VPN.
Jesli przeczytales powyzsze i nie czujesz sie na silach, to lepiej zlec to zadanie komus kto sie zna, unikniesz niepotrzebnych awarii.

Pozdruffka! ;)
Never stop exploring :)

https://iverion.de

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#6

#6 Post autor: norbo80 » 26 wrz 2018, 15:27

Dzieki serdeczne za odpowiedz! Nadal pozostaje troche skomplikowane. Moglbys mi powiedziec jakich polecen CLI musze uzyc, lub gdzie dokladnie w ADSM sie to konfiguruje? Lokalizacje dopiero budowane wiec awaria bardzo nie zaszkodzi :) Pozdrawiam

piter1789
wannabe
wannabe
Posty: 189
Rejestracja: 01 wrz 2014, 10:46

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#7

#7 Post autor: piter1789 » 28 wrz 2018, 17:58

norbo80 pisze:
26 wrz 2018, 15:27
Dzieki serdeczne za odpowiedz! Nadal pozostaje troche skomplikowane. Moglbys mi powiedziec jakich polecen CLI musze uzyc, lub gdzie dokladnie w ADSM sie to konfiguruje? Lokalizacje dopiero budowane wiec awaria bardzo nie zaszkodzi :) Pozdrawiam
hm... nie wiem czy to do tego to forum służy tak w końcu;)
może łatwiej znaleźć partnera np z regionu który to ogarnie szybko i bez problemu;)

norbo80
member
member
Posty: 16
Rejestracja: 27 lut 2018, 11:50

Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.

#8

#8 Post autor: norbo80 » 28 wrz 2018, 19:05

Ok, dzięki. Pozdrawiam

ODPOWIEDZ