VPN для кожного сайту Cisco IPSec. Дозволити трафік, якщо VPN не працює

Біт планування конфігурації "ременів та брекетів".

Фон:

У нас є успішне посилання VPN від сайту до сайту до нашого віддаленого центру обробки даних.

Віддалена «захищена» мережа - це також діапазон IP-мереж, який відкривається через брандмауер як кінцеві точки, що стоять перед Інтернетом.

Таким чином : ми використовуємо VPN, щоб мати доступ до непублічних кінцевих точок.

Постановка проблеми :

Якщо посилання VPN не працює, ASA скидає трафік, навіть якщо кінцеві точки Інтернету все одно повинні бути доступні через віддалений брандмауер.

Питання :

Як я можу налаштувати VPN на «передачу» трафіку як звичайний вихідний трафік, коли VPN не працює.

Ось відповідні сегменти конфігурації.

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

ACL для узгодження трафіку дуже примітивний: він визначає дві мережі, приватну та віддалену, виражені у вигляді мережевих об'єктів.

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log

І примітивна схема.

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

Дякую

Роб

Оновлення 01

Більш точний ACL був обговорений у коментарях нижче (з подякою)

Я можу передбачити два ACLS. (A) який дозволяє ВСЕ у віддалену мережу, а потім заперечує кінцеві точки, які вже доступні через Інтернет. і (B), що відкриває лише управління / інструментарій, як потрібно.

Проблема (B) полягає в тому, що виражати кінцеві точки, такі як RPM WMI та Windows, недоцільно без налаштування стандартної конфіденційності сервера)

Тож, можливо, (A) - найкращий підхід, який стає оберненою конфігурацією віддаленого брандмауера .

Оновлення 02

Майк попросив переглянути більше конфігурації ios ASA.

Далі йдеться про штаб-квартиру ASA, яка знаходиться на місці штаб-квартири. Віддалений DC знаходиться під контролем постачальника центрів обробки даних, тому я не можу коментувати, як саме це може бути налаштовано.

Що ж, показувати не так вже й багато: Є один маршрут за замовчуванням до шлюзу Інтернету, а інших конкретних маршрутів немає.

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

Інтерфейси дуже базові. Лише основні конфігурації IPv4 та vlans для розділення групи на 1 зовнішній інтерфейс та 1 внутрішній інтерфейс.

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

Ура, Роб

vpn ipsec cisco

— Роб Шеферд
джерело

Мені незрозуміло, чи ви хочете отримати доступ до приватних адрес, коли VPN не працює.

— radtrentasei

Чи можете ви надати схему підключення? Ми пропонуємо рішення, можливо, залежатиме від конкретного плану та обладнання.

— Бретт Лікінс

Так звана "захищена" мережа - це фактично публічний сегмент IP. Він захищений, але не NAT-ed. В ідеалі, коли VPN знижений, загальнодоступні кінцеві точки все одно повинні бути доступними.

— Роб Шеперд

Точніший ACL - це, мабуть, найкраща ставка. Ви також можете створити тунель GRE всередині VPN, але для цього потрібно більше обладнання. Якщо ви опублікуєте більш детальну інформацію про ACL, ми можемо допомогти. Може змінити перші дві цифри для захисту невинних?

— Рон Трунк

Роб, ти можеш розказати нам більше про конфігурацію ASA? Зокрема, корисно було б побачити конфігурацію маршрутизації / інтерфейсу

— Майк Пеннінгтон

Я зараз вважаю, що це не практично; принаймні в нашому конкретному сценарії.

Схема ще більше ускладнюється тим, що трафік "до тунелю" вибирається ACL між HQ та RemoteDC, (і ми можемо зробити це таким же складним, як хочемо), але на зворотному "шляху" (так би мовити) Концентратор VPN на віддаленому кінці вибирає всю мережу штаб-квартири як захищену мережу.

Підсумок полягає в тому, що вони не врівноважуються, і, здається, прямі та зворотні ксилати не збігаються. Подібно до маршрутів вперед та назад, які призводять до збоїв трафіку, оскільки NAT в деякий момент відтворюється.

По суті, це вважається "занадто високим технічним ризиком" і вимагає значно більшої оцінки та, можливо, більшого контролю над віддаленим кінцем, перш ніж воно стане рішенням.

Дякую всім, хто переглянув це.

— Роб Шеферд
джерело

Дякую, що продовжили ... Я сподівався, що ми знайдемо рішення з динамічним протоколом маршрутизації через ipsec; хоча я мушу зізнатися, що у мене немає досвіду з цього рішення.

— Майк Пеннінгтон

Якщо у вас є або можете встановити роутер на внутрішній стороні кожного ASA, ви можете створити зашифрований тунель GRE і використовувати маршрутизацію або плаваючу статику для відмови в Інтернет.

— етьєдем
джерело