VPN IPSec ของไซต์ต่อไซต์ อนุญาตการรับส่งข้อมูลถ้า VPN ไม่ทำงาน

9

การวางแผนการตั้งค่าบิตของสายพานและเหล็กดัด

พื้นหลัง:

เรามีลิงค์ VPN ระหว่างไซต์ถึงศูนย์ข้อมูลระยะไกลของเราที่ประสบความสำเร็จ

เครือข่าย 'ป้องกัน' ระยะไกลยังเป็นช่วงเครือข่าย IP ที่เปิดขึ้นผ่านไฟร์วอลล์เมื่ออินเทอร์เน็ตหันเข้าหาปลายทาง

ดังนั้น : เราใช้ VPN เพื่อให้เราสามารถเข้าถึงจุดปลายที่ไม่เป็นสาธารณะได้

คำชี้แจงปัญหา :

หากการเชื่อมโยง VPN ขัดข้อง ASA จะลดทราฟฟิกแม้ว่าจุดปลายอินเทอร์เน็ตจะยังคงสามารถใช้งานได้ผ่านไฟร์วอลล์ระยะไกล

คำถาม :

ฉันจะกำหนดค่า VPN เพื่อ 'ส่ง' ปริมาณการใช้งานเป็นปริมาณการใช้ขาออกปกติได้อย่างไรเมื่อ VPN ไม่ทำงาน

นี่คือเซ็กเมนต์ที่เกี่ยวข้องของการกำหนดค่า

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

ACL สำหรับทราฟฟิกที่ตรงกันนั้นดั้งเดิมมาก: มันระบุเครือข่ายสองเครือข่ายส่วนตัวและระยะไกลซึ่งแสดงเป็นวัตถุเครือข่าย

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log

และแผนภาพดึกดำบรรพ์

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

ขอบคุณ

ปล้น

อัพเดท 01

ACL ที่แม่นยำยิ่งขึ้นได้ถูกกล่าวถึงในความคิดเห็นด้านล่าง (ด้วยความขอบคุณ)

ฉันสามารถมองเห็นสอง ACLS (A) ซึ่งอนุญาตให้ ALL ไปยังเครือข่ายระยะไกลและปฏิเสธจุดปลายทางที่มีอยู่แล้วบนอินเทอร์เน็ต และ (B) ซึ่งเปิดขึ้นเพียงการจัดการ / เครื่องมือตามที่ต้องการ

ปัญหาของ (B) คือการแสดงจุดสิ้นสุดเช่น WMI & Windows RPC ทำไม่ได้โดยไม่ต้องปรับแต่งเซิร์ฟเวอร์มาตรฐาน)

ดังนั้นอาจจะ (ก) เป็นวิธีที่ดีที่สุดที่จะกลายเป็นความผกผันของระยะไกลไฟร์วอลล์การตั้งค่า

อัพเดท 02

Mike ขอให้ดูการกำหนดค่า iOS ของ ASA ให้มากขึ้น

สิ่งต่อไปนี้สำหรับ HQ ASA ซึ่งอยู่ที่ไซต์ HQ DC หนึ่งรีโมตอยู่ภายใต้การควบคุมของผู้ให้บริการศูนย์ข้อมูลดังนั้นฉันจึงไม่สามารถให้ความเห็นเกี่ยวกับวิธีการกำหนดค่าได้อย่างแม่นยำ

มีไม่มากที่จะแสดง: มีเส้นทางเริ่มต้นหนึ่งเส้นทางไปยังเกตเวย์อินเทอร์เน็ตและไม่มีเส้นทางเฉพาะอื่น ๆ

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

การเชื่อมต่อนั้นธรรมดามาก เฉพาะการกำหนดค่า IPv4 พื้นฐานและ vlans เพื่อแบ่งกลุ่มออกเป็น 1 อินเตอร์เฟสภายนอกและ 1 อินเทอร์เฟซภายใน

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

ไชโยร็อบ

vpn  ipsec  cisco 
Rob Shepherd
แหล่งที่มา
ไม่ชัดเจนสำหรับฉันถ้าคุณต้องการเข้าถึงที่อยู่ส่วนตัวเมื่อ VPN ล่ม
radtrentasei
คุณสามารถให้ไดอะแกรมของการเชื่อมต่อได้หรือไม่? วิธีแก้ปัญหาที่เราให้อาจขึ้นอยู่กับรูปแบบและอุปกรณ์เฉพาะ
Brett Lykins
เครือข่าย "ป้องกัน" ที่เรียกว่าเป็นจริงเป็นเซ็กเมนต์ IP สาธารณะ มันเป็นไฟร์วอลล์ แต่ไม่ใช่ NAT-ed เป็นการดีถ้า VPN ไม่ทำงานจุดสิ้นสุดสาธารณะควรยังคงสามารถเข้าถึงได้
Rob Shepherd
1
ACL ที่แม่นยำยิ่งขึ้นน่าจะเป็นทางออกที่ดีที่สุดของคุณ คุณสามารถสร้างอุโมงค์ GRE ภายใน VPN ได้ แต่ก็ต้องใช้ฮาร์ดแวร์มากกว่านี้ หากคุณโพสต์รายละเอียดเพิ่มเติมเกี่ยวกับ ACL เราสามารถช่วยได้ อาจเปลี่ยนตัวเลขสองหลักแรกเพื่อปกป้องผู้บริสุทธิ์?
Ron Trunk
1
Rob คุณช่วยให้เรากำหนดค่า ASA ให้มากขึ้นได้ไหม? การกำหนดค่าการกำหนดเส้นทาง / ส่วนต่อประสานจะเป็นประโยชน์ในการดู
Mike Pennington

คำตอบ:

2

ตอนนี้ฉันเห็นแล้วว่านี่ไม่จริงเลย อย่างน้อยในสถานการณ์เฉพาะของเรา

รูปแบบมีความซับซ้อนมากขึ้นโดยข้อเท็จจริงที่ว่าการรับส่งข้อมูล "สู่อุโมงค์" ถูกเลือกโดย ACL ระหว่าง HQ และ RemoteDC (และเพื่อให้เราสามารถทำให้ซับซ้อนตามที่เราต้องการ) แต่บนเส้นทาง "ย้อนกลับ" (เพื่อพูด) ตัวรวมช่องสัญญาณ VPN ที่ปลายทางระยะไกลกำลังเลือกเครือข่าย HQ ทั้งหมดเป็นเครือข่ายที่ได้รับการป้องกัน

ผลที่สุดก็คือสิ่งเหล่านี้ไม่สมดุลและปรากฏว่า xlates ไปข้างหน้าและย้อนกลับไม่ตรงกัน คล้ายกับการมีเส้นทางไปข้างหน้าและย้อนกลับที่ทำให้การรับส่งข้อมูลล้มเหลวเนื่องจาก NAT กำลังเล่นในบางจุด

โดยพื้นฐานแล้ว - สิ่งนี้ได้ถูกทิ้งเป็น "ความเสี่ยงด้านเทคนิคที่สูงเกินไป" และต้องการการประเมินผลที่มากขึ้นและอาจมีการควบคุมที่ห่างไกลจากระยะไกลมากขึ้นก่อนที่จะกลายเป็นโซลูชัน

ขอบคุณทุกคนที่ตรวจดูสิ่งนี้

Rob Shepherd
แหล่งที่มา
ขอบคุณที่ติดตาม ... ฉันหวังว่าเราจะหาวิธีแก้ปัญหาด้วยโปรโตคอลการเราติ้งแบบไดนามิกบน ipsec; แม้ว่าฉันต้องยอมรับว่าฉันไม่มีประสบการณ์โดยตรงกับโซลูชันนี้
Mike Pennington
0

หากคุณมีหรือสามารถติดตั้งเราเตอร์ที่ด้านในของ ASA แต่ละตัวคุณสามารถสร้างอุโมงค์ GRE เข้ารหัสและใช้เส้นทางหรือสแตติกลอยเพื่อไม่ให้อินเทอร์เน็ต

etiedem
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.