「ベルトとブレース」の構成計画のビット。
バックグラウンド:
リモートデータセンターへのサイト間VPNリンクが成功しています。
リモートの「保護された」ネットワークは、エンドポイントに面したインターネットとしてファイアウォールを介して開かれているIPネットワーク範囲でもあります。
したがって:非公開のエンドポイントにアクセスできるように、VPNを使用しています。
問題の説明:
VPNリンクがダウンしている場合、インターネットエンドポイントがまだリモートファイアウォールを介して利用可能であるはずですが、ASAはトラフィックをドロップします。
質問:
VPNがダウンしているときに、トラフィックを通常の送信トラフィックとして「渡す」ようにVPNを構成するにはどうすればよいですか。
これは、設定の関連するセグメントです。
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
トラフィックを照合するためのACLは非常に原始的です。これは、ネットワークオブジェクトとして表現される、プライベートとリモートの2つのネットワークを指定します。
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
そして原始的な図。
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
ありがとう
ロブ
アップデート01
より正確なACLは以下のコメントで議論されました(感謝の意を込めて)
2つのACLを想定できます。(A)リモートネットへのALLを許可し、インターネットですでに利用可能なエンドポイントを拒否します。(B)必要に応じて管理/機器のみを開きます。
(B)の問題は、WMIやWindows RPCなどのエンドポイントを表現することが、標準のサーバー設定を調整せずに非現実的であることです)
したがって、おそらく(A)は、リモートファイアウォール構成の逆になる最善のアプローチです。
アップデート02
Mikeは、ASAのios設定の詳細を確認するように依頼しました。
以下は、HQサイトにあるHQ ASAの場合です。リモートDCはデータセンタープロバイダーの制御下にあるため、どのように構成できるかについては正確にコメントできません。
表示することはあまりありません。インターネットゲートウェイへのデフォルトルートは1つだけで、他に特定のルートはありません。
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
インターフェイスは非常に基本的です。グループを1つの外部インターフェイスと1つの内部インターフェイスに分割する基本的なIPv4構成とVLANのみ。
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
乾杯、ロブ