Cisco IPSec Siteden siteye VPN. VPN kapalıysa trafiğe izin ver

9

Biraz 'kemer ve diş teli' yapılandırma planlaması.

Arka fon:

Uzak veri merkezimize başarılı bir siteden siteye VPN bağlantımız var.

Uzak 'korumalı' ağ ayrıca güvenlik duvarı üzerinden Internet'e bakan uç noktalar olarak açılan IP ağ aralığıdır.

Böylece : VPN kullanıyoruz, böylece halka açık olmayan uç noktalara erişebiliyoruz.

Sorun Bildirimi :

VPN bağlantısı kesilirse, Internet uç noktaları uzak güvenlik duvarı üzerinden kullanılabilir olsa bile ASA trafiği düşürür.

Soru :

VPN kapalıyken VPN'yi trafiği normal giden trafik olarak 'geçirecek' şekilde nasıl yapılandırabilirim.

Yapılandırmanın ilgili bölümleri.

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

Trafiği eşleştirmek için ACL çok ilkeldir: özel ve uzak iki ağ nesnesini ağ nesneleri olarak ifade eder.

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log

Ve ilkel bir diyagram.

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

Teşekkürler

soymak

01 Güncellemesi

Aşağıdaki yorumlarda daha kesin bir EKL tartışılmıştır (teşekkürler)

İki ACLS öngörebilirim. (A) TÜM uzak ağa izin verir ve daha sonra Internet üzerinden zaten mevcut olan uç noktaları reddeder. ve (B) sadece gerektiğinde yönetimi / enstrümanı açar.

(B) ile ilgili sorun, WMI ve Windows RPC gibi uç noktaların ifade edilmesinin standart sunucu konfisi düzeltilmeden pratik olmamasıdır)

Yani, belki (A) uzak güvenlik duvarı yapılandırmasının tersi olan en iyi yaklaşımdır .

Güncelleme 02

Mike, ASA'nın daha fazla ios yapılandırmasını görmek istedi.

Aşağıdakiler, HQ sahasında bulunan HQ ASA içindir. Uzak DC olanı veri merkezi sağlayıcısının kontrolü altındadır ve bu yüzden bunun nasıl yapılandırılabileceği hakkında yorum yapamam.

Gösterilecek pek bir şey yok: İnternet ağ geçidine giden bir varsayılan yol vardır ve başka hiçbir spesifik yol yoktur.

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

Arayüzler çok basit. Sadece temel IPv4 yapılandırması ve grubu 1 dış arabirime ve 1 iç arabirime bölmek için vlans.

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

Şerefe, Rob

vpn  ipsec  cisco 
Rob Shepherd
kaynak
VPN kapalıyken özel adreslere erişmek isteyip istemediğiniz açık değil.
radtrentasei
Bağlantı şeması verebilir misiniz? Sunduğumuz çözüm muhtemelen belirli düzene ve ekipmana bağlı olacaktır.
Brett Lykins
"Korumalı" ağ olarak adlandırılan ağ aslında genel bir IP segmentidir. Güvenlik duvarlıdır, ancak NAT değildir. İdeal olarak VPN kapalıyken, genel uç noktalara hala erişilebilir olmalıdır.
Rob Shepherd
1
Daha kesin bir ACL muhtemelen en iyi seçeneğinizdir. VPN'nin içinde bir GRE tüneli de oluşturabilirsiniz, ancak bu daha fazla donanım gerektirir. ACL hakkında daha fazla ayrıntı yayınlarsanız size yardımcı olabiliriz. Belki masum olanı korumak için ilk iki basamağı değiştirebilir?
Ron Trunk
1
Rob, bize ASA'nın konfigürasyonundan daha fazlasını verebilir misin? Özellikle, yönlendirme / arayüz yapılandırmalarını görmek faydalı olacaktır
Mike Pennington

Yanıtlar:

2

Şimdi bunun pratik olmadığı görüşündeyim; en azından bizim özel senaryomuzda.

Şema, trafik "tünele", HQ ve RemoteDC arasında ACL tarafından seçilmesi gerçeğiyle daha da karmaşıktır (ve böylece istediğimiz kadar karmaşık hale getirebiliriz), ancak tersine (yol) Uzak uçtaki VPN yoğunlaştırıcı, korunan ağ olarak tüm HQ ağını seçiyor.

Sonuç olarak, bunlar dengelenmiyor ve ileri ve geri xlates eşleşmiyor gibi görünüyor. NAT bir noktada oynatıldığı için trafiğin başarısız olmasına neden olan ileri ve geri rotalara benzer.

Esasen - bu "çok yüksek teknik risk" olarak hurdaya çıkarılıyor ve çözüm haline gelmeden önce uzak uç üzerinde çok daha fazla değerlendirme ve muhtemelen daha fazla kontrol gerektiriyor.

Bunu inceleyen herkese teşekkürler.

Rob Shepherd
kaynak
Takip ettiğiniz için teşekkür ederim ... ipsec üzerinden dinamik yönlendirme protokolüne sahip bir çözüm bulacağımızı umuyorum; itiraf etmeliyim ki bu çözümde ilk elden deneyimim yok.
Mike Pennington
0

Her ASA'nın içine bir yönlendirici yüklediyseniz veya yükleyebiliyorsanız, şifreli bir GRE tüneli oluşturabilir ve Internet'te başarısız olmak için yönlendirme veya kayan bir statik kullanabilirsiniz.

etiedem
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.