Cisco ASA (Client VPN) para LAN - através da segunda VPN para a segunda LAN

tag-icon tag-icon vpn cisco cisco-asa
Cisco ASA (Client VPN) para LAN - através da segunda VPN para a segunda LAN

Temos 2 sites vinculados por uma VPN IPSEC a Cisco ASAs remotos:

Local 1 Conexão T1 de 1,5 Mb Cisco(1) 2841

Local 2 Conexão T1 de 1,5 Mb Cisco 2841

Além disso:

O local 1 tem uma segunda conexão T1 WAN de 3 Mb Cisco 5510 que se conecta à mesma LAN que Cisco(1) 2841.

Basicamente, os usuários de Acesso Remoto (VPN) que se conectam através do Cisco ASA 5510 precisam de acesso a um serviço no final do Site 2. Isso se deve à forma como o serviço é vendido - os roteadores Cisco 2841 não estão sob nosso gerenciamento e estão configurados para permitir conexão da LAN local VLAN 1 endereço IP 10.20.0.0/24. Minha ideia é fazer com que todo o tráfego de usuários remotos através do Cisco ASA destinado ao Site 2 passe pela VPN entre o Site 1 e o Site 2. O resultado final é que todo o tráfego que chega ao Site 2 veio pelo Site 1.

Estou lutando para encontrar muitas informações sobre como isso é configurado. Então, em primeiro lugar, alguém pode confirmar que o que estou tentando alcançar é possível? Em segundo lugar, alguém pode me ajudar a corrigir a configuração abaixo ou me indicar um exemplo dessa configuração?

Muito obrigado.

interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 7.7.7.19 255.255.255.240  


interface Ethernet0/1    
 nameif inside    
 security-level 100    
 ip address 10.20.0.249 255.255.255.0    


object-group network group-inside-vpnclient  
 description All inside networks accessible to vpn clients  
 network-object 10.20.0.0 255.255.255.0  
 network-object 10.20.1.0 255.255.255.0    
object-group network group-adp-network  
 description ADP IP Address or network accessible to vpn clients  
 network-object 207.207.207.173 255.255.255.255  

access-list outside_access_in extended permit icmp any any echo-reply  
access-list outside_access_in extended permit icmp any any source-quench  
access-list outside_access_in extended permit icmp any any unreachable  
access-list outside_access_in extended permit icmp any any time-exceeded  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq smtp  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq pop3  
access-list outside_access_in extended permit tcp any host 7.7.7.20 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq www  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq https  
access-list outside_access_in extended permit tcp any host 7.7.7.21 eq 5721  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient any  
access-list acl-vpnclient extended permit ip object-group group-inside-vpnclient object-group group-adp-network  
access-list acl-vpnclient extended permit ip object-group group-adp-network object-group group-inside-vpnclient  
access-list PinesFLVPNTunnel_splitTunnelAcl standard permit 10.20.0.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 10.20.1.0 255.255.255.0  
access-list inside_nat0_outbound_1 extended permit ip 10.20.0.0 255.255.255.0 host 207.207.207.173  
access-list inside_nat0_outbound_1 extended permit ip 10.20.1.0 255.255.255.0 host 207.207.207.173  

ip local pool VPNPool 10.20.1.100-10.20.1.200 mask 255.255.255.0  

route outside 0.0.0.0 0.0.0.0 7.7.7.17 1  
route inside 207.207.207.173 255.255.255.255 10.20.0.3 1  

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac  
crypto ipsec security-association lifetime seconds 28800  
crypto ipsec security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime seconds 288000  
crypto dynamic-map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto dynamic-map outside_dyn_map 20 set reverse-route  
crypto map outside_map 20 ipsec-isakmp dynamic outside_dyn_map  
crypto map outside_map interface outside  
crypto map outside_dyn_map 20 match address acl-vpnclient  
crypto map outside_dyn_map 20 set security-association lifetime seconds 28800  
crypto map outside_dyn_map 20 set security-association lifetime kilobytes 4608000  
crypto isakmp identity address  
crypto isakmp enable outside  
crypto isakmp policy 20  
 authentication pre-share  
 encryption 3des  
 hash sha  
 group 2  
 lifetime 86400  

group-policy YeahRightflVPNTunnel internal  
group-policy YeahRightflVPNTunnel attributes    
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9  
 vpn-tunnel-protocol IPSec  
 password-storage disable  
 pfs disable  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value acl-vpnclient  
 default-domain value YeahRight.com  
group-policy YeahRightFLVPNTunnel internal  
group-policy YeahRightFLVPNTunnel attributes  
 wins-server value 10.20.0.9  
 dns-server value 10.20.0.9 10.20.0.7  
 vpn-tunnel-protocol IPSec  
 split-tunnel-policy tunnelspecified  
 split-tunnel-network-list value YeahRightFLVPNTunnel_splitTunnelAcl  
 default-domain value yeahright.com  

tunnel-group YeahRightFLVPN type remote-access  
tunnel-group YeahRightFLVPN general-attributes  
 address-pool VPNPool  

tunnel-group YeahRightFLVPNTunnel type remote-access  
tunnel-group YeahRightFLVPNTunnel general-attributes  
 address-pool VPNPool  
 authentication-server-group WinRadius  
 default-group-policy YeahRightFLVPNTunnel  
tunnel-group YeahRightFLVPNTunnel ipsec-attributes  
 pre-shared-key *

Responder1

Certamente, você pode alcançar esse cenário. É chamado de "Hairpinning" . você precisa do seguinte: - configurar o POOL de usuários de acesso remoto para fazer parte da lista de acesso criptográfica associada ao mapa criptográfico - configurar a lista de acesso NAT-EXEMPT ou NO-NAT para incluir o pool.

mais importante:

  • configure este comando: "same-security-traffic permit intra-interface" para permitir que o tráfego entre e saia pela mesma interface no Cisco ASA.
  • configure o peer do túnel (roteador) para incluir o pool de usuários de acesso remoto na lista de acesso criptográfico, porque a lista de acesso criptográfico do túnel L2L deve ser espelhada em ambos os peers.
  • se os usuários de acesso remoto usarem túnel dividido, será necessário garantir que as sub-redes por trás do ponto remoto (roteador) estejam incluídas na lista de acesso do túnel dividido

Veja isso:https://supportforums.cisco.com/message/3864922

Espero que isto ajude.

Mashal

Responder2

Adicione mais informações e um esquema, seria muito útil ajudar. Não sabemos os IPs do seu Site 2. Parece que está faltando no grupo group-inside-vpnclient, pois 10.20.0.0/24 está no site 1 e 10.21.1.0/24 é o seu pool VPN. Você também precisa de uma rota para o IP da rede do site 2 através do roteador do site 1. Se 207.207.207.173 for o IP que você tenta acessar no site 2, realmente precisamos de mais esclarecimentos.

informação relacionada