Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Dzien dobry. Mam dwie odrebne sieci w roznych lokalizacjach, kazda z nich zarzadaja firewalle Cisco ASA polaczone ze soba site-to-site VPN. Pierwsza lokalizacja jest w sieci nr.1 192.168.1.0/24 a druga
w sieci nr.2 192.168.2.0/24. Chialbym aby caly ruch sieci numer 1 przechodzil automatycznie przez VPN do firewallu w sieci numer 2 192.168.2.1. Probowalem utworzyc route (route inside 192.168.1.0 255.255.255.0 192.168.2.1 1 ) ale dostaje ciagle nastepujacy blad: "ERROR: Cannot add route, connected route exists" . Prawdopodobnie poprzez aktywne Site-to-Site VPN. Jak moge najlepiej osiagnac pozadany efekt?
w sieci nr.2 192.168.2.0/24. Chialbym aby caly ruch sieci numer 1 przechodzil automatycznie przez VPN do firewallu w sieci numer 2 192.168.2.1. Probowalem utworzyc route (route inside 192.168.1.0 255.255.255.0 192.168.2.1 1 ) ale dostaje ciagle nastepujacy blad: "ERROR: Cannot add route, connected route exists" . Prawdopodobnie poprzez aktywne Site-to-Site VPN. Jak moge najlepiej osiagnac pozadany efekt?
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Hej, jak bedziesz routowal ten ruch przez ASA ktora terminuje ten VPN i masz ruch miedzy tymi sieciami wylaczony z NAT (NAT exclusion / Identity NAT), to bedzie sie to dzialo automagicznie i zadne dodawanie tras statycznych na tych FW nie jest potrzebne.
Powodzenia
Powodzenia
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Dziękuję za odpowiedź, niestety nie jestem zaawansowanym użytkownikiem Cisco i nie do końca rozumiem podczas konfiguracji S2S było do wyboru NAT Exempt i zaznaczyłem to jako aktywne an obydwu Firewallach dla sieci Inside.
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Moze jeszcze dodam, zechodzi takze o http, https w sieci nr. 1. Czyli jesli np. w klienta w sieci numer 1 wykonam tracert 8.8.8.8 to jeden hop musi byc 192.168.2.1.
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Hej,
zalezy "jaki" ruch chcesz pchac przez tunel VPN. Wizzardem pewnie zdefiniowales tylko VPN miedzy sieciami inside w dwoch lokalizacjach, co zapewne dziala. Jesli chcesz caly ruch pchac przez tunel (bo robisz traceroute do 8.8.8., to trzeba odpowiednio zmodyfikowac ACL (proxy ACL), ktora definiuje ruch szyfrowany. Uwazaj z "any" bo mozesz polozyc tunel (recursive routing). Jesli chcesz pchac wszystko przez VPN z jednej lokalizacji do drugiej, bo w tej drugiej jest np. lokalny internet breakout zabezpieczony FW/IPS etc etc, to musisz miec zdefiniowana trase statyczna dla peera IPSec przez twojego GW w danej site, zanim zmienisz proxy ACL dla VPN.
Jesli przeczytales powyzsze i nie czujesz sie na silach, to lepiej zlec to zadanie komus kto sie zna, unikniesz niepotrzebnych awarii.
Pozdruffka!
zalezy "jaki" ruch chcesz pchac przez tunel VPN. Wizzardem pewnie zdefiniowales tylko VPN miedzy sieciami inside w dwoch lokalizacjach, co zapewne dziala. Jesli chcesz caly ruch pchac przez tunel (bo robisz traceroute do 8.8.8., to trzeba odpowiednio zmodyfikowac ACL (proxy ACL), ktora definiuje ruch szyfrowany. Uwazaj z "any" bo mozesz polozyc tunel (recursive routing). Jesli chcesz pchac wszystko przez VPN z jednej lokalizacji do drugiej, bo w tej drugiej jest np. lokalny internet breakout zabezpieczony FW/IPS etc etc, to musisz miec zdefiniowana trase statyczna dla peera IPSec przez twojego GW w danej site, zanim zmienisz proxy ACL dla VPN.
Jesli przeczytales powyzsze i nie czujesz sie na silach, to lepiej zlec to zadanie komus kto sie zna, unikniesz niepotrzebnych awarii.
Pozdruffka!
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Dzieki serdeczne za odpowiedz! Nadal pozostaje troche skomplikowane. Moglbys mi powiedziec jakich polecen CLI musze uzyc, lub gdzie dokladnie w ADSM sie to konfiguruje? Lokalizacje dopiero budowane wiec awaria bardzo nie zaszkodzi Pozdrawiam
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
hm... nie wiem czy to do tego to forum służy tak w końcu;)
może łatwiej znaleźć partnera np z regionu który to ogarnie szybko i bez problemu;)
Re: Site-to-Site VPN, Caly traffic przeniesc do zdalnego firewalla.
Ok, dzięki. Pozdrawiam