ASA - odseparowana sieć wifi
ASA - odseparowana sieć wifi
ASA5520 - W użyciu mam 2 interfejsy inside 10.10.10.0/24 i outside 1.1.1.1/20, którym wypuszczam cały LAN do Internetu i na którym zapinam wszystkie VPN-y. Natomiast chciałbym przeznaczyć pod WiFi dodatkowy interfejs. Zaadresowałem go 10.10.20.0/24 i NAT-uje na inny publiczny IP z dostępnej mi puli powiedzmy na 1.1.1.2/20. Ta sieci WiFi musi być odseparowana od LAN-u i chciałbym aby dostęp z niej do sieci lokalnej był możliwy tylko poprzez VPN-a - czy to jest możliwe mając 2 różne publiczne IP ale z tej samej podsieci
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
tak właśnie robię, jednak VPN nie zapina się...
Kod: Zaznacz cały
object network N-O_10.10.20.0
nat (WLAN,OUTSIDE) dynamic 1.1.1.2
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
niestety nie mogę połączyć się w ten sposób. Nawet gdybym mógł to nie byłoby dla mnie pożądane rozwiązanie, ponieważ wszystkie VPN-y RA użytkowników (zarówno SSL jak i IPsec w licznie ok. 500) mają zdefiniowaną nazwę w konfiguracji vpn.firma.pl = 1.1.1.1 i zmiana tego byłaby problematyczna. Jeśli jakiś użytkownik wepnie się do wifi i będzie chciał zapiąć VPN-a to połączenie będzie inicjowane do tego publica na outside...
-
- wannabe
- Posty: 187
- Rejestracja: 17 kwie 2010, 21:48
- Kontakt:
!.http://www.cisco.com/c/en/us/td/docs/se ... #wp1186909
2. Drugie to zrób NAT exempt z sieci WLAN (10.10.20.0) do IP Interfejsu Public (1.1.1.1) na którego zapinasz VPNa
3. ACL zezwalająca na ruch do VPNa
2. Drugie to zrób NAT exempt z sieci WLAN (10.10.20.0) do IP Interfejsu Public (1.1.1.1) na którego zapinasz VPNa
3. ACL zezwalająca na ruch do VPNa
Dodałem wykluczenie ale nadal nic.. W logu zauważyłem
W konfiguracji mam
Kod: Zaznacz cały
Failed to locate egress interface for UDP from WLAN:10.10.20.20/58410 to 1.1.1.1/500
Kod: Zaznacz cały
nat (WLAN,BGP) source static N-O_10.10.20.0 N-O_10.10.20.0 destination static PUBLIC_1.1.1.1 PUBLIC_1.1.1.1 no-proxy-arp route-lookup
object network N-O_10.10.20.0
nat (WLAN,Outside) dynamic PUBLIC_1.1.1.2
pokaż wynik
Jakie masz security level na interfejsach?
Kod: Zaznacz cały
packet-tracer input WLAN udp 10.10.20.20 58410 1.1.1.1 500 detailed
Security level mam na jednym i drugim interfejsie 0. Oraz dodane:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
Wynik z packet-tracer
show nat detail pokazuje:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
Wynik z packet-tracer
Kod: Zaznacz cały
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7e7b40d0, priority=1, domain=permit, deny=false
hits=1770598, user_data=0x0, cs_id=0x0, l3_type=0x8
src mac=0000.0000.0000, mask=0000.0000.0000
dst mac=0000.0000.0000, mask=0100.0000.0000
input_ifc=WLAN, output_ifc=any
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 1.1.1.1 255.255.255.255 identity
Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 1.1.1.1 255.255.255.255 identity
Phase: 4
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 1.1.1.1 255.255.255.255 identity
Phase: 5
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 1.1.1.1 255.255.255.255 identity
Result:
input-interface: WLAN
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (no-route) No route to host
Kod: Zaznacz cały
Manual NAT Policies (Section 1)
18 (WLAN) to (OUTSIDE) source static N-O_10.10.20.0 N-O_10.10.20.0 destination static PUBLIC_1.1.1.1 PUBLIC_1.1.1.1 no-proxy-arp route-lookup
translate_hits = 0, untranslate_hits = 0
Source - Origin: 10.10.20.0/24, Translated: 10.10.20.0/24
Destination - Origin: 1.1.1.1/32, Translated: 1.1.1.1/32
Auto NAT Policies (Section 2)
26 (WLAN) to (OUTSIDE) source dynamic N-O_10.10.20.0 PUBLIC_1.1.1.2 dns
translate_hits = 45, untranslate_hits = 3
Source - Origin: 10.10.20.0/24, Translated: 1.1.1.2/32