2011/2/1 Alex <[email protected]> > > Il giorno 31/gen/2011, alle ore 17.07, Alex ha scritto: > > > Ciao a tutti, > > > > chiedo se qualcuno di voi ha mai avuto a che fare con uno scenario di > questo tipo: > > > > - ASA5510 (come centro stella) (ios 7.x) > > - router 877 (periferia) (ios 12.4) > > > > Problema: ogni router deve collegarsi via IPSec ad ASA e tutto il > traffico deve uscire dalla outside di ASA. > > La configurazione IPSec tra router e asa non è un problema, ma non trovo > un modo per spedire tutto il traffico verso asa (e il sito di cisco, nonché > google non sono stati molto amichevoli in questo caso). > > > > Qualcuno di voi sa indicarmi della documentazione di riferimento o ha > qualche conf da condividere come esempio (ammesso che sia fattibile)? > > > > Vi ringrazio > > Cerco di fare un po' di chiarezza allegando un diagramma della rete: > > http://www.lord2y.org/wp-content/uploads/2011/02/schema-network.png > > Quello che sto cercando di ottenere: > > 1. utente sulla rete 192.168.41/24 raggiunge i servizi sulla rete > 192.168.103/24 (implementato); > 2. utente sulla rete 192.168.41/24 raggiunge i servizi sulla rete > 192.168.40/24 passando attraverso ASA (da implementare); > 3. gli utenti sulle reti 192.168.{40,41,43}/24 escono su Internet passando > attraverso ASA (da implementare); > > Qualsiasi suggerimento o idee è ben accetta :) > > Grazie > > Ciao > > _______________________________________ > Articoli CISCO: http://www.areanetworking.it/category/cisco > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug >
Per il traffico tra le varie sedi remote, l'unica accortezza è mettere il comando "same-security-traffic permit intra-interface". Poi configuri il tunnel normalmente, ovviamente mettendo in ogni lista tutte le sedi remote. P.e. verso 192.168.41.0, sull'ASA, permit ip 192.168.103.0 255.255.255.0 192.168.41.0 255.255.255.0 permit ip 192.168.40.0 255.255.255.0 192.168.41.0 255.255.255.0 permit ip 192.168.43.0 255.255.255.0 192.168.41.0 255.255.255.0 Non saprei però come fare per la navigazione di tutte le sedi attraverso l'ASA. Per il semplice motivo che il NAT viene effettuato quando il firewall viene attraversato (traffico da una interfaccia all'altra), e le VPN vengono considerate terminate sull'interfaccia outside: si avrebbe quindi un NAT "da outside a outside". Qualcun altro ha idee? Ivan
_______________________________________ Articoli CISCO: http://www.areanetworking.it/category/cisco [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
