ASA - odseparowana sieć wifi

[wowie]

ASA5520 - W użyciu mam 2 interfejsy inside 10.10.10.0/24 i outside 1.1.1.1/20, którym wypuszczam cały LAN do Internetu i na którym zapinam wszystkie VPN-y. Natomiast chciałbym przeznaczyć pod WiFi dodatkowy interfejs. Zaadresowałem go 10.10.20.0/24 i NAT-uje na inny publiczny IP z dostępnej mi puli powiedzmy na 1.1.1.2/20. Ta sieci WiFi musi być odseparowana od LAN-u i chciałbym aby dostęp z niej do sieci lokalnej był możliwy tylko poprzez VPN-a - czy to jest możliwe mając 2 różne publiczne IP ale z tej samej podsieci

[michaliwanczuk]

zrób 2 naty

jeden gdzie ruch z 10.10.10.0/24 natujesz ip interfejsu outside
drugi z 10.10.20.0/24 natujesz na inny ip z puli outside

[wowie]

tak właśnie robię, jednak VPN nie zapina się...

Kod: Zaznacz cały

      object network N-O_10.10.20.0
        nat (WLAN,OUTSIDE) dynamic 1.1.1.2

[michaliwanczuk]

a masz vpn włączony na interfejsie WLAN ?

ale vpn zapinaj z IP bramy WLAN a nie z IP publicznym - taka moja uwaga:-)

[wowie]

VPN mam włączony tylko na moim Outside 1.1.1.1

ale vpn zapinaj z IP bramy WLAN a nie z IP publicznym - taka moja uwaga:-)

Co dokładnie masz na myśli..?

[michaliwanczuk]

włącz na jeszcze vpn na WLAN i zobacz czy połączysz się VPN'em na ip ASY w WLAN

[wowie]

niestety nie mogę połączyć się w ten sposób. Nawet gdybym mógł to nie byłoby dla mnie pożądane rozwiązanie, ponieważ wszystkie VPN-y RA użytkowników (zarówno SSL jak i IPsec w licznie ok. 500) mają zdefiniowaną nazwę w konfiguracji vpn.firma.pl = 1.1.1.1 i zmiana tego byłaby problematyczna. Jeśli jakiś użytkownik wepnie się do wifi i będzie chciał zapiąć VPN-a to połączenie będzie inicjowane do tego publica na outside...

[michaliwanczuk]

chyba że w DNS dla sieci WLAN zrobisz odpowiedni wpis to rozwiąże problem:-)

[b4n3]

!.http://www.cisco.com/c/en/us/td/docs/se ... #wp1186909

2. Drugie to zrób NAT exempt z sieci WLAN (10.10.20.0) do IP Interfejsu Public (1.1.1.1) na którego zapinasz VPNa

3. ACL zezwalająca na ruch do VPNa

[wowie]

Dodałem wykluczenie ale nadal nic.. W logu zauważyłem

Kod: Zaznacz cały

Failed to locate egress interface for UDP from WLAN:10.10.20.20/58410 to 1.1.1.1/500

W konfiguracji mam

Kod: Zaznacz cały

nat (WLAN,BGP) source static N-O_10.10.20.0 N-O_10.10.20.0 destination static PUBLIC_1.1.1.1 PUBLIC_1.1.1.1 no-proxy-arp route-lookup

object network N-O_10.10.20.0
 nat (WLAN,Outside) dynamic PUBLIC_1.1.1.2

[borostfor]

pokaż wynik

Kod: Zaznacz cały

packet-tracer input WLAN udp 10.10.20.20 58410 1.1.1.1 500 detailed

Jakie masz security level na interfejsach?

[wowie]

Security level mam na jednym i drugim interfejsie 0. Oraz dodane:
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

Wynik z packet-tracer

Kod: Zaznacz cały

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x7e7b40d0, priority=1, domain=permit, deny=false
        hits=1770598, user_data=0x0, cs_id=0x0, l3_type=0x8
        src mac=0000.0000.0000, mask=0000.0000.0000
        dst mac=0000.0000.0000, mask=0100.0000.0000
        input_ifc=WLAN, output_ifc=any

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   1.1.1.1   255.255.255.255 identity

Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   1.1.1.1   255.255.255.255 identity

Phase: 4
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   1.1.1.1   255.255.255.255 identity

Phase: 5
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   1.1.1.1   255.255.255.255 identity

Result:
input-interface: WLAN
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (no-route) No route to host

show nat detail pokazuje:

Kod: Zaznacz cały

Manual NAT Policies (Section 1)
18 (WLAN) to (OUTSIDE) source static N-O_10.10.20.0 N-O_10.10.20.0   destination static PUBLIC_1.1.1.1 PUBLIC_1.1.1.1 no-proxy-arp route-lookup
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 10.10.20.0/24, Translated: 10.10.20.0/24
    Destination - Origin: 1.1.1.1/32, Translated: 1.1.1.1/32
Auto NAT Policies (Section 2)
26 (WLAN) to (OUTSIDE) source dynamic N-O_10.10.20.0 PUBLIC_1.1.1.2   dns
    translate_hits = 45, untranslate_hits = 3
    Source - Origin: 10.10.20.0/24, Translated: 1.1.1.2/32

[borostfor]

W sumie chyba to nie jest wykonalne aby dostac sie np z sieci z jednego interfejsu na inny interfejs. Na routerze to by to dzialalo. Moze ktos bardziej doswiadczony bedzie w stanie pomoc.

Mozna to rozwiazac za pomoca split DNS i odpalic na WLAN vpn.