Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Dzien dobry. Mam dwie odrebne sieci w roznych lokalizacjach, kazda z nich zarzadaja firewalle Cisco ASA polaczone ze soba site-to-site VPN. Pierwsza lokalizacja jest w sieci nr.1 192.168.1.0/24 a druga
w sieci nr.2 192.168.2.0/24. Chialbym aby caly ruch sieci numer 1 przechodzil automatycznie przez VPN do firewallu w sieci numer 2 192.168.2.1. Probowalem utworzyc route (route inside 192.168.1.0 255.255.255.0 192.168.2.1 1 ) ale dostaje ciagle nastepujacy blad: "ERROR: Cannot add route, connected route exists" . Prawdopodobnie poprzez aktywne Site-to-Site VPN. Jak moge najlepiej osiagnac pozadany efekt?
w sieci nr.2 192.168.2.0/24. Chialbym aby caly ruch sieci numer 1 przechodzil automatycznie przez VPN do firewallu w sieci numer 2 192.168.2.1. Probowalem utworzyc route (route inside 192.168.1.0 255.255.255.0 192.168.2.1 1 ) ale dostaje ciagle nastepujacy blad: "ERROR: Cannot add route, connected route exists" . Prawdopodobnie poprzez aktywne Site-to-Site VPN. Jak moge najlepiej osiagnac pozadany efekt?
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Hej, jak bedziesz routowal ten ruch przez ASA ktora terminuje ten VPN i masz ruch miedzy tymi sieciami wylaczony z NAT (NAT exclusion / Identity NAT), to bedzie sie to dzialo automagicznie i zadne dodawanie tras statycznych na tych FW nie jest potrzebne.
Powodzenia![Smile :)](./images/smilies/icon_smile.gif)
Powodzenia
![Smile :)](./images/smilies/icon_smile.gif)
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Dziękuję za odpowiedź, niestety nie jestem zaawansowanym użytkownikiem Cisco i nie do końca rozumiem
podczas konfiguracji S2S było do wyboru NAT Exempt i zaznaczyłem to jako aktywne an obydwu Firewallach dla sieci Inside.
![Smile :)](./images/smilies/icon_smile.gif)
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Moze jeszcze dodam, zechodzi takze o http, https w sieci nr. 1. Czyli jesli np. w klienta w sieci numer 1 wykonam tracert 8.8.8.8 to jeden hop musi byc 192.168.2.1.
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Hej,
zalezy "jaki" ruch chcesz pchac przez tunel VPN. Wizzardem pewnie zdefiniowales tylko VPN miedzy sieciami inside w dwoch lokalizacjach, co zapewne dziala. Jesli chcesz caly ruch pchac przez tunel (bo robisz traceroute do 8.8.8.
, to trzeba odpowiednio zmodyfikowac ACL (proxy ACL), ktora definiuje ruch szyfrowany. Uwazaj z "any" bo mozesz polozyc tunel (recursive routing). Jesli chcesz pchac wszystko przez VPN z jednej lokalizacji do drugiej, bo w tej drugiej jest np. lokalny internet breakout zabezpieczony FW/IPS etc etc, to musisz miec zdefiniowana trase statyczna dla peera IPSec przez twojego GW w danej site, zanim zmienisz proxy ACL dla VPN.
Jesli przeczytales powyzsze i nie czujesz sie na silach, to lepiej zlec to zadanie komus kto sie zna, unikniesz niepotrzebnych awarii.
Pozdruffka!![Wink ;)](./images/smilies/icon_wink.gif)
zalezy "jaki" ruch chcesz pchac przez tunel VPN. Wizzardem pewnie zdefiniowales tylko VPN miedzy sieciami inside w dwoch lokalizacjach, co zapewne dziala. Jesli chcesz caly ruch pchac przez tunel (bo robisz traceroute do 8.8.8.
![Cool 8)](./images/smilies/icon_cool.gif)
Jesli przeczytales powyzsze i nie czujesz sie na silach, to lepiej zlec to zadanie komus kto sie zna, unikniesz niepotrzebnych awarii.
Pozdruffka!
![Wink ;)](./images/smilies/icon_wink.gif)
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Dzieki serdeczne za odpowiedz! Nadal pozostaje troche skomplikowane. Moglbys mi powiedziec jakich polecen CLI musze uzyc, lub gdzie dokladnie w ADSM sie to konfiguruje? Lokalizacje dopiero budowane wiec awaria bardzo nie zaszkodzi
Pozdrawiam
![Smile :)](./images/smilies/icon_smile.gif)
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
hm... nie wiem czy to do tego to forum służy tak w końcu;)
może łatwiej znaleźć partnera np z regionu który to ogarnie szybko i bez problemu;)
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Ok, dzięki. Pozdrawiam