Cisco ASA VPN - Roteie todo o tráfego da Internet do site remoto através do ISP do site principal

2

Eu tenho uma situação com dois locais conectados via VPN site-to-site. O site A tem um appliance de filtragem da Web. Eu gostaria de rotear todo o tráfego do Site B através do túnel VPN e da conexão de Internet do Site A (e filtro da web). Os dispositivos de firewall em uso são o Cisco ASA 5505. A VPN site a site já está estabelecida.

O que preciso modificar para realizar o acima?

    
por ewwhite 12.10.2011 / 22:23

2 respostas

1

Altere as ACLs que controlam sua política de encapsulamento para permitir o tráfego:

Site A:

access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts

Site B:

access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts

O tráfego que passa por este túnel estará vindo na interface externa, sendo descriptografado e voltando pela interface externa (espero que isso funcione para o seu filtro da Web!), então você também precisará explicar isso :

(aviso de configuração: esta é a configuração 8.2, ajuste de acordo)

same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0

Com isso, todo o tráfego detectará a política de criptografia e o túnel será construído com redes locais / remotas de 0.0.0.0/0.

testasa# show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X

      access-list outside_cryptomap_A permit ip any object-group site_b_hosts
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
      current_peer: test-endpoint-public

      #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
      #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626
    
por 12.10.2011 / 23:26
2

Assumindo que seu servidor proxy no site A seja p.p.p.p e a sub-rede local no site b seja b.b.b.0 / 24

Você precisará configurar o domínio de criptografia local no site A para conter seu servidor proxy e o domínio de criptografia remota no site B para conter seu servidor proxy. Você também pode precisar alterar suas listas de acesso ao firewall para permitir o tráfego também, dependendo da sua configuração.

assim no site A ASA

access-list site-A-site-B_vpn permit ip host p.p.p.p b.b.b.0 255.255.255.0
access-list outside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p

e no site B ASA

access-list site-B-site-A_vpn permit ip b.b.b.0 255.255.255.0 host p.p.p.p
access-list inside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p

Se você não estiver usando um proxy definido explicitamente, você terá uma pequena dificuldade, porque você terá que fazer o tunel 0.0.0.0/0 através do seu vpn, e GRE sobre IPSEC pode ser uma opção melhor ...

    
por 12.10.2011 / 23:06