Cisco ASA (Client VPN) zum LAN - über zweites VPN zum zweiten LAN

tag-icon tag-icon vpn cisco cisco-asa
Cisco ASA (Client VPN) zum LAN - über zweites VPN zum zweiten LAN

Wir haben 2 Sites, die über ein IPSEC-VPN mit Remote-Cisco-ASAs verbunden sind:

Standort 1 1,5 Mbit/s T1-Verbindung Cisco(1) 2841

Standort 2, 1,5 MB T1-Verbindung Cisco 2841

Zusätzlich:

Standort 1 verfügt über eine zweite WAN 3Mb gebündelte T1-Verbindung Cisco 5510, die mit demselben LAN verbunden ist wie Cisco(1) 2841.

Grundsätzlich benötigen Remote Access (VPN)-Benutzer, die sich über Cisco ASA 5510 verbinden, Zugriff auf einen Dienst am Ende von Site 2. Dies liegt an der Art und Weise, wie der Dienst verkauft wird – Cisco 2841-Router werden nicht von uns verwaltet und sind so eingerichtet, dass Verbindungen von der lokalen LAN-VLAN-1-IP-Adresse 10.20.0.0/24 möglich sind. Meine Idee ist, den gesamten Datenverkehr von Remote-Benutzern über Cisco ASA, der für Site 2 bestimmt ist, über das VPN zwischen Site 1 und Site 2 laufen zu lassen. Das Endergebnis ist, dass der gesamte Datenverkehr, der Site 2 erreicht, über Site 1 gekommen ist.

Ich habe Mühe, viele Informationen darüber zu finden, wie dies eingerichtet wird. Kann also erstens jemand bestätigen, dass das, was ich erreichen möchte, möglich ist? Zweitens, kann mir jemand helfen, die folgende Konfiguration zu korrigieren oder mir ein Beispiel für eine solche Konfiguration zeigen?

Vielen Dank.

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 7.7.7.19 255.255.255.240  


interface Ethernet0/1    
 nameif inside    
 security-level 100    
 ip address 10.20.0.249 255.255.255.0    


object-group network group-inside-vpnclient  
 description All inside networks accessible to vpn clients  
 network-object 10.20.0.0 255.255.255.0  
 network-object 10.20.1.0 255.255.255.0    
object-group network group-adp-network  
 description ADP IP Address or network accessible to vpn clients  
 network-object 207.207.207.173 255.255.255.255  

access-list outside_access_in extended permit icmp any any echo-reply  
access-list outside_access_in extended permit icmp any any source-quench  
access-list outside_access_in extended permit icmp any any unreachable  
access-list outside_access_in extended permit icmp any any time-exceeded  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network  
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient  
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173  
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173  

ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0  

route outside 0.0.0.0 0.0.0.0 7.7.7.17 1  
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1  

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec security-association lifetime seconds 28800  
crypto ipsec security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set reverse-route  
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map  
crypto map outside_map interface outside  
crypto map outside_dyn_map 20 match address acl-vpnclient  
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800  
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto isakmp identity address  
crypto isakmp enable outside  
crypto isakmp policy 20  
 authentication pre-share  
 encryption 3des  
 hash sha  
 group 2  
 lifetime 86400  

group-policy YeahRightflVPNTunnel internal  
group-policy YeahRightflVPNTunnel attributes    
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9  
 vpn-tunnel-protocol IPSec  
 password-storage disable  
 pfs disable  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value acl-vpnclient  
 default-domain value YeahRight.com  
group-policy YeahRightFLVPNTunnel internal  
group-policy YeahRightFLVPNTunnel attributes  
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9 10.20.0.7  
 vpn-tunnel-protocol IPSec  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl  
 default-domain value yeahright.com  

tunnel-group YeahRightFLVPN type remote-access  
tunnel-group YeahRightFLVPN general-attributes  
 address-pool VPNPool  

tunnel-group YeahRightFLVPNTunnel type remote-access  
tunnel-group YeahRightFLVPNTunnel general-attributes  
 address-pool VPNPool  
 authentication-server-group WinRadius  
 default-group-policy YeahRightFLVPNTunnel  
tunnel-group YeahRightFLVPNTunnel ipsec-attributes  
 pre-shared-key *

Antwort1

Dieses Szenario können Sie sicherlich erreichen. Es wird „Hairpinning“ genannt. Sie benötigen Folgendes: - Konfigurieren Sie den POOL der Remote-Access-Benutzer so, dass er Teil der mit der Crypto Map verknüpften Crypto-Zugriffsliste ist. - Konfigurieren Sie die NAT-EXEMPT- oder NO-NAT-Zugriffsliste so, dass der Pool eingeschlossen wird.

am wichtigsten:

  • Konfigurieren Sie diesen Befehl: „same-security-traffic permit intra-interface“, um eingehenden und ausgehenden Datenverkehr über dieselbe Schnittstelle in Cisco ASA zuzulassen.
  • Konfigurieren Sie den Tunnel-Peer (Router) so, dass der Pool der Remote-Access-Benutzer in die Krypto-Zugriffsliste aufgenommen wird, da die Krypto-Zugriffsliste des L2L-Tunnels in beiden Peers gespiegelt werden muss.
  • Wenn Remote-Zugriffsbenutzer Split-Tunneling verwenden, müssen Sie sicherstellen, dass die Subnetze hinter dem Remote-Peer (Router) in der Split-Tunnel-Zugriffsliste enthalten sind

Sieh dir das an:https://supportforums.cisco.com/message/3864922

Hoffe das hilft.

Mashal

Antwort2

Bitte fügen Sie weitere Informationen und ein Schema hinzu, das wäre sehr hilfreich. Wir kennen Ihre Site 2-IPs nicht. Sie scheinen in der Gruppe „group-inside-vpnclient“ zu fehlen, da 10.20.0.0/24 auf Site 1 liegt und 10.21.1.0/24 Ihr VPN-Pool ist. Sie benötigen außerdem eine Route für die Netzwerk-IP von Site 2 über den Router von Site 1. Wenn 207.207.207.173 die IP ist, die Sie auf Site 2 erreichen möchten, benötigen wir wirklich weitere Erläuterungen.

verwandte Informationen