Il giorno 01/feb/2011, alle ore 15.11, Ivan Brunello ha scritto: Ciao Ivan,
grazie della risposta > 2011/2/1 Alex <[email protected]> > > Il giorno 31/gen/2011, alle ore 17.07, Alex ha scritto: > > > Ciao a tutti, > > > > chiedo se qualcuno di voi ha mai avuto a che fare con uno scenario di > > questo tipo: > > > > - ASA5510 (come centro stella) (ios 7.x) > > - router 877 (periferia) (ios 12.4) > > > > Problema: ogni router deve collegarsi via IPSec ad ASA e tutto il traffico > > deve uscire dalla outside di ASA. > > La configurazione IPSec tra router e asa non è un problema, ma non trovo un > > modo per spedire tutto il traffico verso asa (e il sito di cisco, nonché > > google non sono stati molto amichevoli in questo caso). > > > > Qualcuno di voi sa indicarmi della documentazione di riferimento o ha > > qualche conf da condividere come esempio (ammesso che sia fattibile)? > > > > Vi ringrazio > > Cerco di fare un po' di chiarezza allegando un diagramma della rete: > > http://www.lord2y.org/wp-content/uploads/2011/02/schema-network.png > > Quello che sto cercando di ottenere: > > 1. utente sulla rete 192.168.41/24 raggiunge i servizi sulla rete > 192.168.103/24 (implementato); > 2. utente sulla rete 192.168.41/24 raggiunge i servizi sulla rete > 192.168.40/24 passando attraverso ASA (da implementare); > 3. gli utenti sulle reti 192.168.{40,41,43}/24 escono su Internet passando > attraverso ASA (da implementare); > > Qualsiasi suggerimento o idee è ben accetta :) > > Grazie > > Ciao > > _______________________________________ > Articoli CISCO: http://www.areanetworking.it/category/cisco > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug > > Per il traffico tra le varie sedi remote, l'unica accortezza è mettere il > comando "same-security-traffic permit intra-interface". > Poi configuri il tunnel normalmente, ovviamente mettendo in ogni lista tutte > le sedi remote. > P.e. verso 192.168.41.0, sull'ASA, > permit ip 192.168.103.0 255.255.255.0 192.168.41.0 255.255.255.0 > permit ip 192.168.40.0 255.255.255.0 192.168.41.0 255.255.255.0 > permit ip 192.168.43.0 255.255.255.0 192.168.41.0 255.255.255.0 fino qui ci sono. > > Non saprei però come fare per la navigazione di tutte le sedi attraverso > l'ASA. > Per il semplice motivo che il NAT viene effettuato quando il firewall viene > attraversato (traffico da una interfaccia all'altra), e le VPN vengono > considerate terminate sull'interfaccia outside: si avrebbe quindi un NAT "da > outside a outside". > Ecco: lo stesso problema che ho rilevato io. Mi sto (ri)studiando il funzionamento del nat/pat però non trovo il modo di farli fare il giro...(ammesso che io stia battendo la strada corretta) > Qualcun altro ha idee? _______________________________________ Articoli CISCO: http://www.areanetworking.it/category/cisco [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
