Tunel Site-to-Site Cisco ASA 5540
Tunel Site-to-Site Cisco ASA 5540
Witam
Mam taki problem. Chcę zestawić tunel Site-to-Site. Problem jest następujący: druga strona narzuca lokal network 192.168.0.0/24, a z mojej strony taka siec juz istnieje. Czy istnieje jakis sposób aby to obejsc, aby nie bylo koniecznosci readresacji tych urzdzen z sieci 192.168.0.0/24.
Pozdrawiam Piotrek
Mam taki problem. Chcę zestawić tunel Site-to-Site. Problem jest następujący: druga strona narzuca lokal network 192.168.0.0/24, a z mojej strony taka siec juz istnieje. Czy istnieje jakis sposób aby to obejsc, aby nie bylo koniecznosci readresacji tych urzdzen z sieci 192.168.0.0/24.
Pozdrawiam Piotrek
Kolega prosil o nat na Asie a nie na routerach
Kiedys juz cos takiego komus pisalem wiec...
Zalozmy ze twoja siec znajduje sie na asa za interfejsem INSIDE a siec partnera jest dostepna za interfejsem OUTSIDE.
Zalozmy ze wasze sieci to 10.0.0.0/24
Musisz wiec znatowac sieci tak aby partner widzial ciebie jako na przyklad 10.1.0.0/24 a ty bedziesz widzial partnera jako na przyklad 10.2.0.0/24.
Tak wiec nikt z was nie bedzie musial zmieniac adresacji i bedziecie widziec druga strona jako inna siec.
Ponizej konfig NATU na ASIE(dla ASA 7.x and 8.0.x - 8.2.x) :
DO vpna uzywasz swojej znatowanej sieci i oryginalej sieci partnera czyli
Jesli masz w konfigu
to ruch z vpn musi przejsc przez access-liste. Tak wiec na access-liscie na interfejsie outside wpisujesz adresacje oryginalna partnera przed natowaniem czyli
Jesli masz wersje 8.3, 8.4 albo wyzej to musisz inaczej zrobic nat bo w tych wersjach nat zostal calkowicie przeorganizowany
Mala uwaga:
Taki nat bedzie dzialal pod warunkiem ze routing do partnera wychodzi takim samym interfejsem co twoja trasa domyslna na asie.
Chodzi o to ze ASA musi znalez routing do oryginalnej sieci partnera.
Cisco config guide podaje ze jeli siec partnera znajduje sie za innym interfejsem niz brama domyslna to nalezy rozdzielic siec na dwie podsieci.
Czyli teoretycznie mialoby byc
Tylko ze niestety to nie zadziala bo wtedy bedzie problem z dotarciem do twojej sieci z innych vlanow(zakladajac ze takie sa) bo asa wybierze bardziej szczegolowy routing i posle to na inny interfejs zamiast wyslac do sieci lokalnej.
Swoja drogą jak ktos wie jak rozwiązać taki problem na asie 8.0x-8.2 to bedzie fajnie.
Kiedys juz cos takiego komus pisalem wiec...
Zalozmy ze twoja siec znajduje sie na asa za interfejsem INSIDE a siec partnera jest dostepna za interfejsem OUTSIDE.
Zalozmy ze wasze sieci to 10.0.0.0/24
Musisz wiec znatowac sieci tak aby partner widzial ciebie jako na przyklad 10.1.0.0/24 a ty bedziesz widzial partnera jako na przyklad 10.2.0.0/24.
Tak wiec nikt z was nie bedzie musial zmieniac adresacji i bedziecie widziec druga strona jako inna siec.
Ponizej konfig NATU na ASIE(dla ASA 7.x and 8.0.x - 8.2.x) :
Kod: Zaznacz cały
#natujemy twoja siec na 10.1.0.0/24
access-list acl_nat_lan1 extended permit ip 10.0.0.0 255.255.255.0 10.2.0.0 255.255.255.0
static (inside,outside) 10.1.0.0 access-list acl_nat_lan1
#natujemy siec partnera na 10.2.0.0/24
access-list acl_nat_lan2 extended permit ip 10.0.0.0 255.255.255.0 10.1.0.0 255.255.255.0
static (outside,inside) 10.2.0.0 access-list acl_nat_lan2
Kod: Zaznacz cały
#10.1.0.0 twoja siec po natowaniu
#10.0.0.0 siec partnera po zdenatowaniu
access-list acl_vpn extended permit ip 10.1.0.0 255.255.255.0 10.0.0.0 255.255.255.0
Kod: Zaznacz cały
no sysopt connection permit-vpn
Kod: Zaznacz cały
access-list acl_outside extended permit tcp 10.0.0.0 255.255.255.0 10.1.0.0 255.255.255.0
Mala uwaga:
Taki nat bedzie dzialal pod warunkiem ze routing do partnera wychodzi takim samym interfejsem co twoja trasa domyslna na asie.
Chodzi o to ze ASA musi znalez routing do oryginalnej sieci partnera.
Cisco config guide podaje ze jeli siec partnera znajduje sie za innym interfejsem niz brama domyslna to nalezy rozdzielic siec na dwie podsieci.
Czyli teoretycznie mialoby byc
Kod: Zaznacz cały
route outside 10.0.0.0 255.255.255.128 gatweay_ip_to_partner
route outside 10.0.0.128 255.255.255.128 gatweay_ip_to_partner
Swoja drogą jak ktos wie jak rozwiązać taki problem na asie 8.0x-8.2 to bedzie fajnie.
W przypadku asa >8.3 musisz zrobić tzw. twice NAT
Trzymając się założeń z poprzedniego postu:
Trzymając się założeń z poprzedniego postu:
Kod: Zaznacz cały
object network PEER_NEW_NET
subnet 10.2.0.0 255.255.255.0
object network MY_NEW_NET
subnet 10.1.0.0 255.255.255.0
object network REAL_NET
subnet 10.0.0.0 255.255.255.0
Kod: Zaznacz cały
nat(inside,outside) source static REAL_NET MY_NEW_NET destination static PEER_NEW_NET REAL_NET
Dzieki ale chodzilo mi o rozwiazanie na jednej asie gdyby na przyklad druga strona byla bardzo oporna i nie chciala natowac. Swoja droga dziwi mnie fakt ze cisco podalo takie rozwiazanie(podzial routingu na dwie podsieci) w config guide nie informujac o zagrozeniu. Mozna co prawda dodac tylko routing do kilku adresow ale musimy miec pewnosc ze wlasnie te adresy nie moga byc uzywane w sieci lokalnej wpietej do intefejsu inside.dorvin pisze:Robi się na obu urządzeniach NAT na inne sieci i obie strony odwołują się tylko do tych nowcyh adresów.radix pisze: Swoja drogą jak ktos wie jak rozwiązać taki problem na asie 8.0x-8.2 to bedzie fajnie.
Czyli rozumiem ze nie mozna tego zrobic na asie i sofcie 8.0x-8.2?