У меня есть ситуация с двумя локациями, подключенными через межсайтовый VPN. На сайте A есть устройство веб-фильтрации. Я хотел бы направить весь трафик с сайта B через VPN-туннель и за пределы интернет-соединения сайта A (и веб-фильтра). Используемые устройства межсетевого экрана - Cisco ASA 5505. VPN-соединение типа "сеть-сеть" уже установлено.
Что мне нужно изменить, чтобы выполнить вышеуказанное?
Предположим, что ваш прокси-сервер на сайте A - p.p.p.p, а локальная подсеть на сайте b - b.b.b.0 / 24
Вам необходимо настроить локальный домен шифрования на сайте A, чтобы он содержал ваш прокси-сервер, и удаленный домен шифрования на сайте B, чтобы он содержал ваш прокси-сервер. Вам также может потребоваться изменить списки доступа брандмауэра, чтобы разрешить прохождение трафика, в зависимости от вашей конфигурации.
так на сайте A ASA
access-list site-A-site-B_vpn permit ip host p.p.p.p b.b.b.0 255.255.255.0
access-list outside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p
и на сайте B ASA
access-list site-B-site-A_vpn permit ip b.b.b.0 255.255.255.0 host p.p.p.p
access-list inside_access_in permit ip b.b.b.0 255.255.255.0 host p.p.p.p
Если вы не используете явно определенный прокси, вы столкнетесь с небольшими трудностями, потому что вам фактически придется туннелировать 0.0.0.0/0 через ваш vpn, и GRE over IPSEC может быть лучшим вариантом ...
Измените списки ACL, управляющие вашей туннельной политикой, чтобы разрешить трафик:
Сайт А:
access-list outside_cryptomap_A extended permit ip any object-group site_b_hosts
no access-list outside_cryptomap_A extended permit ip object-group site_a_hosts object-group site_b_hosts
Сайт B:
access-list outside_cryptomap_B extended permit ip object-group site_b_hosts any
no access-list outside_cryptomap_B extended permit ip object-group site_b_hosts object-group site_a_hosts
Трафик, проходящий через этот туннель, будет поступать во внешний интерфейс, расшифровываться и сразу же выходить из внешнего интерфейса (я надеюсь, что это сработает для вашего веб-фильтра!), Поэтому вам также нужно будет это учитывать:
(отказ от ответственности: это конфигурация 8.2, отрегулируйте соответственно)
same-security-traffic permit intra-interface
nat (outside) 1 10.X.X.0 255.255.255.0
При этом весь трафик будет улавливаться политикой шифрования, и туннель будет построен с локальными / удаленными сетями 0.0.0.0/0.
testasa# show crypto ipsec sa
interface: outside
Crypto map tag: outside_map, seq num: 100, local addr: X.X.X.X
access-list outside_cryptomap_A permit ip any object-group site_b_hosts
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (10.X.X.0/255.255.255.0/0/0)
current_peer: test-endpoint-public
#pkts encaps: 719, #pkts encrypt: 719, #pkts digest: 719
#pkts decaps: 626, #pkts decrypt: 626, #pkts verify: 626