Назад | Перейти на главную страницу

Cisco ASA VPN - маршрутизируйте весь интернет-трафик с удаленного сайта через провайдера основного сайта

У меня есть ситуация с двумя локациями, подключенными через межсайтовый VPN. На сайте A есть устройство веб-фильтрации. Я хотел бы направить весь трафик с сайта B через VPN-туннель и за пределы интернет-соединения сайта A (и веб-фильтра). Используемые устройства межсетевого экрана - Cisco ASA 5505. VPN-соединение типа "сеть-сеть" уже установлено.

Что мне нужно изменить, чтобы выполнить вышеуказанное?

Предположим, что ваш прокси-сервер на сайте A - p.p.p.p, а локальная подсеть на сайте b - b.b.b.0 / 24

Вам необходимо настроить локальный домен шифрования на сайте A, чтобы он содержал ваш прокси-сервер, и удаленный домен шифрования на сайте B, чтобы он содержал ваш прокси-сервер. Вам также может потребоваться изменить списки доступа брандмауэра, чтобы разрешить прохождение трафика, в зависимости от вашей конфигурации.

так на сайте A ASA

access-list site-A-site-B_vpn permit ip host p.p.p.p b.b.b.0 255.255.255.0
access-list outside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p

и на сайте B ASA

access-list site-B-site-A_vpn permit ip b.b.b.0 255.255.255.0 host p.p.p.p
access-list inside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p

Если вы не используете явно определенный прокси, вы столкнетесь с небольшими трудностями, потому что вам фактически придется туннелировать 0.0.0.0/0 через ваш vpn, и GRE over IPSEC может быть лучшим вариантом ...

Измените списки ACL, управляющие вашей туннельной политикой, чтобы разрешить трафик:

Сайт А:

access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts

Сайт B:

access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts

Трафик, проходящий через этот туннель, будет поступать во внешний интерфейс, расшифровываться и сразу же выходить из внешнего интерфейса (я надеюсь, что это сработает для вашего веб-фильтра!), Поэтому вам также нужно будет это учитывать:

(отказ от ответственности: это конфигурация 8.2, отрегулируйте соответственно)

same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0

При этом весь трафик будет улавливаться политикой шифрования, и туннель будет построен с локальными / удаленными сетями 0.0.0.0/0.

testasa# show crypto ipsec sa
interface: outside
    Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X

      access-list outside_cryptomap_A permit ip any object-group site_b_hosts
      local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
      remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
      current_peer: test-endpoint-public

      #pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
      #pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626