“安全带”配置规划位。
背景:
我们有一个成功的到远程数据中心的站点到站点VPN链接。
远程“受保护”网络也是通过防火墙作为面向Internet的端点打开的IP网络范围。
因此:我们使用VPN,以便可以访问非公共端点。
问题陈述:
如果VPN链路断开,即使Internet端点仍可通过远程防火墙访问,ASA也会丢弃流量。
问题:
当VPN关闭时,如何配置VPN以“通过”流量作为常规传出流量。
这是配置的相关部分。
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
匹配流量的ACL非常原始:它指定表示为网络对象的两个网络(专用网络和远程网络)。
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
和原始图。
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
谢谢
抢
更新01
下面的评论中讨论了更精确的ACL(谢谢)
我可以设想两个ACLS。(A)允许ALL到远程网络,然后拒绝Internet上已经可用的端点。(B)仅根据需要打开管理/仪器。
(B)的问题在于,在不调整标准服务器配置的情况下,表示端点(如WMI和Windows RPC)是不切实际的)
因此,也许(A)是最好的方法,它与远程防火墙配置相反。
更新02
Mike要求查看更多ASA的ios配置。
以下是总部总部的总部ASA。远程DC处于数据中心提供商的控制之下,因此我无法确切说明如何配置。
好吧,没有太多要显示的内容:到Internet网关的路由只有一条默认路径,而没有其他特定的路由。
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
接口是非常基本的。只有基本的IPv4配置和VLAN才能将组分为1个外部接口和1个内部接口。
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
干杯,罗布
我不清楚在VPN关闭时是否要访问私有地址。
—
radtrentasei 2014年
您可以提供连接图吗?我们提供的解决方案可能取决于特定的布局和设备。
—
Brett Lykins 2014年
所谓的“受保护”网络实际上是一个公共IP网段。它经过防火墙保护,但不经过NAT处理。理想情况下,当VPN关闭时,公共端点仍应可访问。
—
罗布·谢泼德
更精确的ACL可能是您最好的选择。您也可以在VPN内创建GRE隧道,但这将需要更多的硬件。如果您发布有关ACL的更多详细信息,我们将为您提供帮助。也许更改前两位数字以保护无辜者?
—
罗恩·托恩
Rob,您能给我们更多ASA的配置吗?具体来说,查看路由/接口配置将很有用
—
Mike Pennington 2014年