2011/2/1 Alex <[email protected]> > > Il giorno 01/feb/2011, alle ore 15.11, Ivan Brunello ha scritto: > > Ciao Ivan, > > grazie della risposta > > > 2011/2/1 Alex <[email protected]> > > > > Il giorno 31/gen/2011, alle ore 17.07, Alex ha scritto: > > > > > Ciao a tutti, > > > > > > chiedo se qualcuno di voi ha mai avuto a che fare con uno scenario di > questo tipo: > > > > > > - ASA5510 (come centro stella) (ios 7.x) > > > - router 877 (periferia) (ios 12.4) > > > > > > Problema: ogni router deve collegarsi via IPSec ad ASA e tutto il > traffico deve uscire dalla outside di ASA. > > > La configurazione IPSec tra router e asa non è un problema, ma non > trovo un modo per spedire tutto il traffico verso asa (e il sito di cisco, > nonché google non sono stati molto amichevoli in questo caso). > > > > > > Qualcuno di voi sa indicarmi della documentazione di riferimento o ha > qualche conf da condividere come esempio (ammesso che sia fattibile)? > > > > > > Vi ringrazio > > > > Cerco di fare un po' di chiarezza allegando un diagramma della rete: > > > > http://www.lord2y.org/wp-content/uploads/2011/02/schema-network.png > > > > Quello che sto cercando di ottenere: > > > > 1. utente sulla rete 192.168.41/24 raggiunge i servizi sulla rete > 192.168.103/24 (implementato); > > 2. utente sulla rete 192.168.41/24 raggiunge i servizi sulla rete > 192.168.40/24 passando attraverso ASA (da implementare); > > 3. gli utenti sulle reti 192.168.{40,41,43}/24 escono su Internet > passando attraverso ASA (da implementare); > > > > Qualsiasi suggerimento o idee è ben accetta :) > > > > Grazie > > > > Ciao > > > > _______________________________________ > > Articoli CISCO: http://www.areanetworking.it/category/cisco > > [email protected] > > http://ml.areanetworking.it/mailman/listinfo/cug > > > > Per il traffico tra le varie sedi remote, l'unica accortezza è mettere il > comando "same-security-traffic permit intra-interface". > > Poi configuri il tunnel normalmente, ovviamente mettendo in ogni lista > tutte le sedi remote. > > P.e. verso 192.168.41.0, sull'ASA, > > permit ip 192.168.103.0 255.255.255.0 192.168.41.0 255.255.255.0 > > permit ip 192.168.40.0 255.255.255.0 192.168.41.0 255.255.255.0 > > permit ip 192.168.43.0 255.255.255.0 192.168.41.0 255.255.255.0 > > fino qui ci sono. > > > > > Non saprei però come fare per la navigazione di tutte le sedi attraverso > l'ASA. > > Per il semplice motivo che il NAT viene effettuato quando il firewall > viene attraversato (traffico da una interfaccia all'altra), e le VPN vengono > considerate terminate sull'interfaccia outside: si avrebbe quindi un NAT "da > outside a outside". > > > > Ecco: lo stesso problema che ho rilevato io. > Mi sto (ri)studiando il funzionamento del nat/pat però non trovo il modo di > farli fare il giro...(ammesso che io stia battendo la strada corretta) > > > > Qualcun altro ha idee? > > > _______________________________________ > Articoli CISCO: http://www.areanetworking.it/category/cisco > [email protected] > http://ml.areanetworking.it/mailman/listinfo/cug >
Per un cliente con un'esigenza simile ho dovuto ovviare anch'io con un proxy (applicativo, quindi puoi applicare la regola a un web proxy, o a un relay SMTP, per altri protocolli non so). Poi, per forzare la cosa, basta che togli del tutto il NAT sui router remoti, e le persone sono costrette a usare i proxy che hai nel main site. Mi vengono in mente altre soluzioni, che tecnicamente definirei "degli accrocchi", e quindi se possibile da evitare. Prova pero' a dare un'occhiata a questo link: non l'ho approfondito, e potrebbe tornare utile. http://www.cisco.com/en/US/technologies/tk583/tk372/technologies_white_paper0900aecd8029d629.html Ivan
_______________________________________ Articoli CISCO: http://www.areanetworking.it/category/cisco [email protected] http://ml.areanetworking.it/mailman/listinfo/cug
