Problem z Subinterfejsami i routingiem ASA 5520

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

Problem z Subinterfejsami i routingiem ASA 5520

#1

#1 Post autor: lukewisniewski »

Cześć,
Na ASA 5520 mam problem z subinterfejsami i ich dostępnością ze świata.

Konfiguracja interfejsów.

Kod: Zaznacz cały

interface GigabitEthernet0/0
 nameif OUTSIDE_WAN
 security-level 0
 no ip address
!
interface GigabitEthernet0/0.1473
 vlan 1473
 nameif P2P-WAN-LINK
 security-level 0
 ip address xxx.yyy.zzz.153 255.255.255.248
!
interface GigabitEthernet0/0.1482
 vlan 1482
 nameif WAN-VPN1
 security-level 0
 ip address xxx.yyy.zzz.185 255.255.255.252

Przy próbie pinga/vpna na adres xxx.yyy.zzz.185 ASA loguje następujący komunikat "Failed to locate egress interface for source from"
Obie podsieci są widziane z internetu prawidłowo.
Adres z interfejsu vlanowego 1482 chciałbym tylko "zawiesić" żeby można było się do niego odwoływać za pomocą obiektów i vpna.

Adresacje które są powyżej rozgłaszam do szkieletu WAN poprzez EIGRP. Są to adresy publiczne.
Inspekcja ICMP włączona. Inter oraz intra interface też.
Prośba o nakierowanie co robię nie tak, oraz wskazanie czy może są lepsze sposoby na zaczepienie adresacji, którą sam rozgłaszam.


Dzięki za odpowiedzi.

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: Problem z Subinterfejsami i routingiem ASA 5520

#2

#2 Post autor: peper »

Hej,

Rozumiem, że ta próba połączenia na .185 pochodzi z innego interfejsu niż WAN-WPN1, czyli routing do hosta źródłowego jest przez inny interfejs? O ile pamiętam ASA nie pozwala na to byś pingował czy terminował połączenia na innym interfejsie niż ten, przez który ruch wchodzi.

Pzdr,
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

lukewisniewski
wannabe
wannabe
Posty: 54
Rejestracja: 04 sty 2016, 20:36

Re: Problem z Subinterfejsami i routingiem ASA 5520

#3

#3 Post autor: lukewisniewski »

peper pisze:Hej,

Rozumiem, że ta próba połączenia na .185 pochodzi z innego interfejsu niż WAN-WPN1, czyli routing do hosta źródłowego jest przez inny interfejs? O ile pamiętam ASA nie pozwala na to byś pingował czy terminował połączenia na innym interfejsie niż ten, przez który ruch wchodzi.

Pzdr,
Dokładnie tak jak napisałeś. Miałem na myśli to , że RUCH Z INTERNETU>>INTERFEJS P2P-WAN-LINK >>WAN-VPN1

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: Problem z Subinterfejsami i routingiem ASA 5520

#4

#4 Post autor: peper »

To jest właśnie ta konfiguracja która nie zadziała. Wymagane będzie terminowanie ruchu na P2P-WAN-LINK co zresztą jest zgodnie z logiką konfigurowania ASA.

Zastanawiam się jeszcze czy opcja zrobienia routingu do jakiegoś adresu /32 do Null0, redystrybucja go do EIGRP i NAT na interfejs WAN-VPN1 by nie były rozwiązaniem, względnie sam NAT na jakimś adresie już rozgłaszanym i osiągalnym.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z Subinterfejsami i routingiem ASA 5520

#5

#5 Post autor: drake »

Hej,

Z tego co wiem to w nowym sofcie od 9.3(2) jest dostepna opcja "traffic zone", ktora wlasnie adresuje podobne sytuacje gdzie ma sie wiecej niz jeden interfejs WAN. Sprawdz to, wiecej tutaj: http://www.cisco.com/c/en/us/td/docs/se ... -zones.pdf

Pozdruffka!
Never stop exploring :)

https://iverion.de

Maciek_JG
member
member
Posty: 48
Rejestracja: 14 sty 2011, 16:57
Lokalizacja: WRO

Re: Problem z Subinterfejsami i routingiem ASA 5520

#6

#6 Post autor: Maciek_JG »

drake pisze:Hej,

Z tego co wiem to w nowym sofcie od 9.3(2) jest dostepna opcja "traffic zone", ktora wlasnie adresuje podobne sytuacje gdzie ma sie wiecej niz jeden interfejs WAN. Sprawdz to, wiecej tutaj: http://www.cisco.com/c/en/us/td/docs/se ... -zones.pdf

Pozdruffka!
Niestety 9.3(2) nie zabangla na leciwych ASAch 5520. OS 9.1.7 to ostatni soft pod tą platformę.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: Problem z Subinterfejsami i routingiem ASA 5520

#7

#7 Post autor: drake »

Hej,

no to czas na wymiane HW lub przeprojektowanie :)

Pozdruffka!
Never stop exploring :)

https://iverion.de

ODPOWIEDZ