背景: />远程“受保护”网络也是通过防火墙作为面向Internet的端点通过防火墙打开的IP网络范围。
因此:我们使用VPN,因此我们可以访问非公共端点。
问题陈述:
如果VPN链路断开,即使Internet端点仍可通过远程防火墙访问,ASA也会丢弃流量。
问题:
当VPN断开时,如何配置VPN以“通过”流量作为常规传出流量。
这是VPN的相关部分配置。
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
用于匹配流量的ACL非常原始:它指定表示为网络对象的两个网络(专用网络和远程网络)。 />
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
和原始图。
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
感谢
Rob
更新01
下面的注释中讨论了更精确的ACL(谢谢)
I可以设想两个ACLS。 (A)允许ALL到远程网络,然后拒绝Internet上已经可用的端点。 (B)只是打开所需的管理/工具。 >
因此,也许(A)是与远程防火墙配置相反的最佳方法。
更新02
Mike要求查看更多内容。 ASA的ios配置。
以下是总部总部的总部ASA。远程DC受数据中心提供商的控制,因此我无法确切说明如何配置。
好吧,没有太多要显示的内容:到Internet网关的默认路由只有一个,而没有其他特定的路由。
接口非常基础。只有基本的IPv4配置和VLAN才能将组分为1个外部接口和1个内部接口。
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
干杯,Rob
#1 楼
我现在认为这不切实际。至少在我们的特定情况下。由于HCL和RemoteDC之间的ACL选择了“隧道”流量,因此该方案变得更加复杂(因此我们可以根据需要使其变得复杂),但在相反的“路径”上(可以这么说),远端的VPN集中器正在选择整个HQ网络作为受保护的网络。
结果是这些不平衡并且看来正反xlate不匹配。类似于具有向前和向后路由,这些路由会由于NAT在某些时候起作用而导致流量失败。在解决方案之前就可以控制远端。
感谢所有关注此问题的人。
评论
感谢您的跟进...我希望我们能找到一种基于ipsec的动态路由协议的解决方案;尽管我必须承认我对这种解决方案没有亲身经验。
–迈克·彭宁顿
2014年3月24日12:35
评论
我不清楚在VPN关闭时是否要访问私有地址。您可以提供连接图吗?我们提供的解决方案可能取决于特定的布局和设备。
所谓的“受保护”网络实际上是一个公共IP网段。它经过防火墙保护,但不经过NAT处理。理想情况下,当VPN关闭时,公共端点仍应可访问。
更精确的ACL可能是您最好的选择。您也可以在VPN内创建GRE隧道,但这将需要更多的硬件。如果您发布有关ACL的更多详细信息,我们将为您提供帮助。也许更改前两位数字以保护无辜者?
Rob,您能给我们更多ASA的配置吗?具体来说,路由/接口配置将有助于查看