Cisco ASA (Cliente VPN) a LAN: a través de una segunda VPN a una segunda LAN

tag-icon tag-icon vpn cisco cisco-asa
Cisco ASA (Cliente VPN) a LAN: a través de una segunda VPN a una segunda LAN

Tenemos 2 sitios que están vinculados mediante una VPN IPSEC a Cisco ASA remotos:

Sitio 1 Conexión T1 de 1,5 Mb Cisco(1) 2841

Sitio 2 Conexión T1 de 1,5 Mb Cisco 2841

Además:

El sitio 1 tiene una segunda conexión T1 WAN de 3 Mb vinculada Cisco 5510 que se conecta a la misma LAN que Cisco(1) 2841.

Básicamente, los usuarios de acceso remoto (VPN) que se conectan a través de Cisco ASA 5510 necesitan acceso a un servicio al final del sitio 2. Esto se debe a la forma en que se vende el servicio: los enrutadores Cisco 2841 no están bajo nuestra administración y están configurados para permitir conexión desde la LAN local VLAN 1 dirección IP 10.20.0.0/24. Mi idea es que todo el tráfico de los usuarios remotos a través de Cisco ASA destinado al sitio 2 pase a través de la VPN entre el sitio 1 y el sitio 2. El resultado final es que todo el tráfico que llega al sitio 2 proviene del sitio 1.

Estoy luchando por encontrar una gran cantidad de información sobre cómo se configura esto. Entonces, en primer lugar, ¿alguien puede confirmar que lo que intento lograr es posible? En segundo lugar, ¿alguien puede ayudarme a corregir la configuración siguiente o indicarme un ejemplo de dicha configuración?

Muchas gracias.

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 7.7.7.19 255.255.255.240  


interface Ethernet0/1    
 nameif inside    
 security-level 100    
 ip address 10.20.0.249 255.255.255.0    


object-group network group-inside-vpnclient  
 description All inside networks accessible to vpn clients  
 network-object 10.20.0.0 255.255.255.0  
 network-object 10.20.1.0 255.255.255.0    
object-group network group-adp-network  
 description ADP IP Address or network accessible to vpn clients  
 network-object 207.207.207.173 255.255.255.255  

access-list outside_access_in extended permit icmp any any echo-reply  
access-list outside_access_in extended permit icmp any any source-quench  
access-list outside_access_in extended permit icmp any any unreachable  
access-list outside_access_in extended permit icmp any any time-exceeded  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network  
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient  
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173  
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173  

ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0  

route outside 0.0.0.0 0.0.0.0 7.7.7.17 1  
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1  

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec security-association lifetime seconds 28800  
crypto ipsec security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set reverse-route  
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map  
crypto map outside_map interface outside  
crypto map outside_dyn_map 20 match address acl-vpnclient  
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800  
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto isakmp identity address  
crypto isakmp enable outside  
crypto isakmp policy 20  
 authentication pre-share  
 encryption 3des  
 hash sha  
 group 2  
 lifetime 86400  

group-policy YeahRightflVPNTunnel internal  
group-policy YeahRightflVPNTunnel attributes    
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9  
 vpn-tunnel-protocol IPSec  
 password-storage disable  
 pfs disable  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value acl-vpnclient  
 default-domain value YeahRight.com  
group-policy YeahRightFLVPNTunnel internal  
group-policy YeahRightFLVPNTunnel attributes  
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9 10.20.0.7  
 vpn-tunnel-protocol IPSec  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl  
 default-domain value yeahright.com  

tunnel-group YeahRightFLVPN type remote-access  
tunnel-group YeahRightFLVPN general-attributes  
 address-pool VPNPool  

tunnel-group YeahRightFLVPNTunnel type remote-access  
tunnel-group YeahRightFLVPNTunnel general-attributes  
 address-pool VPNPool  
 authentication-server-group WinRadius  
 default-group-policy YeahRightFLVPNTunnel  
tunnel-group YeahRightFLVPNTunnel ipsec-attributes  
 pre-shared-key *

Respuesta1

Seguramente puedes lograr este escenario. Se llama "Hairpinning". necesita lo siguiente: - configurar el GRUPO de usuarios de acceso remoto para que forme parte de la lista de acceso criptográfico asociada con el mapa criptográfico - configurar la lista de acceso NAT-EXEMPT o NO-NAT para incluir el grupo.

Más importante:

  • configure este comando: "same-security-traffic permit intra-interface" para permitir que el tráfico entre y salga por la misma interfaz en Cisco ASA.
  • configure el par del túnel (enrutador) para incluir el grupo de usuarios de acceso remoto en la lista de acceso criptográfico, porque la lista de acceso criptográfico del túnel L2L debe reflejarse en ambos pares.
  • Si los usuarios de acceso remoto utilizan túneles divididos, entonces debe asegurarse de que las subredes detrás del par remoto (enrutador) estén incluidas en la lista de acceso de túnel dividido.

mira esto:https://supportforums.cisco.com/message/3864922

Espero que esto ayude.

mashal

Respuesta2

Agregue más información y un esquema, sería muy útil para ayudar. No conocemos las IP de su sitio 2. Parece que falta en el grupo group-inside-vpnclient ya que 10.20.0.0/24 está en el sitio 1 y 10.21.1.0/24 es su grupo de vpn. También necesita una ruta para la IP de la red del sitio 2 a través del enrutador del sitio 1. Si 207.207.207.173 es la IP a la que intenta acceder en el sitio 2, realmente necesitamos más aclaraciones.

información relacionada