Cisco IPSec Site-to-site VPN. Cho phép lưu lượng nếu VPN ngừng hoạt động

Lập kế hoạch cấu hình bit của vành đai và niềng răng.

Lý lịch:

Chúng tôi có một liên kết VPN trang web thành công đến trung tâm dữ liệu từ xa của chúng tôi.

Mạng 'được bảo vệ' từ xa cũng là phạm vi mạng IP được mở thông qua tường lửa khi Internet phải đối mặt với các điểm cuối.

Do đó : Chúng tôi sử dụng VPN để có thể truy cập các điểm cuối không công khai.

Báo cáo sự cố :

Nếu liên kết VPN không hoạt động, ASA sẽ giảm lưu lượng, mặc dù các điểm cuối Internet vẫn sẽ có sẵn thông qua tường lửa từ xa.

Câu hỏi :

Làm cách nào tôi có thể định cấu hình VPN để 'vượt qua' lưu lượng truy cập như lưu lượng đi thông thường, khi VPN ngừng hoạt động.

Đây là các phân đoạn thích hợp của cấu hình.

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

ACL cho lưu lượng phù hợp là rất nguyên thủy: nó chỉ định hai mạng, riêng và từ xa, được thể hiện dưới dạng các đối tượng mạng.

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log

Và một sơ đồ nguyên thủy.

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

Cảm ơn

Cướp

Cập nhật 01

Một ACL chính xác hơn đã được thảo luận trong các ý kiến dưới đây (với lời cảm ơn)

Tôi có thể dự tính hai ACLS. (A) cho phép TẤT CẢ vào mạng từ xa và sau đó từ chối các điểm cuối đã có sẵn trên Internet. và (B) chỉ mở ra việc quản lý / thiết bị theo yêu cầu.

Vấn đề với (B) là việc thể hiện các điểm cuối như WMI và Windows RPC là không thực tế mà không điều chỉnh conf máy chủ tiêu chuẩn)

Vì vậy, có lẽ (A) là cách tiếp cận tốt nhất trở thành nghịch đảo của cấu hình tường lửa từ xa .

Cập nhật 02

Mike đã yêu cầu xem thêm cấu hình ios của ASA.

Điều gì sau đây là cho HQ ASA đang ở địa điểm HQ. Thiết bị DC từ xa nằm dưới sự kiểm soát của nhà cung cấp trung tâm dữ liệu và vì vậy tôi không thể nhận xét chính xác cách thức có thể được định cấu hình.

Chà, không có gì nhiều để hiển thị: Có một tuyến mặc định tới cổng Internet và không có tuyến cụ thể nào khác.

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

Giao diện rất cơ bản. Chỉ có cấu hình và vlans IPv4 cơ bản để chia nhóm thành 1 giao diện bên ngoài và 1 giao diện bên trong.

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

Chúc mừng, Rob

vpn ipsec cisco

— Rob chăn cừu
nguồn

Tôi không rõ nếu bạn muốn truy cập vào các địa chỉ riêng tư khi VPN ngừng hoạt động.

— radtrentasei

Bạn có thể cung cấp một sơ đồ của kết nối? Giải pháp chúng tôi cung cấp có thể sẽ phụ thuộc vào bố cục và thiết bị cụ thể.

— Brett Lykins

Mạng được gọi là "được bảo vệ" thực sự là một phân khúc IP công cộng. Nó được tường lửa nhưng không phải NAT-ed. Lý tưởng nhất là khi VPN ngừng hoạt động, các điểm cuối công cộng vẫn có thể truy cập được.

— Rob Shepherd ngày

Một ACL chính xác hơn có lẽ là đặt cược tốt nhất của bạn. Bạn cũng có thể tạo một đường hầm GRE bên trong VPN, nhưng điều đó sẽ đòi hỏi nhiều phần cứng hơn. Nếu bạn đăng thêm chi tiết về ACL, chúng tôi có thể giúp đỡ. Có thể thay đổi hai chữ số đầu tiên để bảo vệ người vô tội?

— Ron Trunk

Rob, bạn có thể cho chúng tôi thêm cấu hình của ASA không? Cụ thể, cấu hình định tuyến / giao diện sẽ hữu ích để xem

— Mike Pennington

Bây giờ tôi cho rằng điều này không thực tế; ít nhất là trong kịch bản cụ thể của chúng tôi.

Sơ đồ phức tạp hơn bởi thực tế là lưu lượng "đến đường hầm" được ACL chọn giữa HQ và RemoteDC, (và vì vậy chúng tôi có thể làm cho nó phức tạp như chúng tôi muốn), nhưng trên "đường dẫn" ngược lại (có thể nói) Bộ tập trung VPN ở đầu xa đang chọn toàn bộ mạng HQ làm mạng được bảo vệ.

Kết quả cuối cùng là những cái này không cân bằng và có vẻ như xlates tiến và lùi không khớp. Tương tự như việc có các tuyến chuyển tiếp và ngược lại khiến giao thông không thành công vì NAT đang hoạt động tại một số điểm.

Về cơ bản - điều này đang bị loại bỏ vì "rủi ro kỹ thuật quá cao" và đòi hỏi phải đánh giá nhiều hơn và có thể kiểm soát nhiều hơn từ xa trước khi nó trở thành một giải pháp.

Cảm ơn tất cả những người đã xem qua điều này.

— Rob chăn cừu
nguồn

Cảm ơn bạn đã theo dõi ... Tôi hy vọng rằng chúng tôi sẽ tìm ra giải pháp với giao thức định tuyến động qua ipsec; mặc dù tôi phải thú nhận rằng tôi không có kinh nghiệm đầu tiên với giải pháp này.

— Mike Pennington

Nếu bạn có hoặc có thể cài đặt bộ định tuyến ở bên trong mỗi ASA, bạn có thể tạo một đường hầm GRE được mã hóa và sử dụng định tuyến hoặc tĩnh tĩnh để không truy cập Internet.

— etiedem
nguồn