VPN L2L con ASA e utilizzo gateway remoto...

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
giankyfava
Cisco power user
Messaggi: 76
Iscritto il: mar 28 dic , 2004 10:33 am

Salve,
ho una vpn l2l fra A e B realizzata con 2 asa. Ho la necessità che gli host della sede B utilizzino come gateway l'asa della sede A solamente per un determinato applicativo (cioè quando voglio raggiungere un determinato ip pubblico). E' possibile realizzare questo tipo di configurazione? Se sì, come? Grazie già da ora...
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

Devi gestire il routing nella sede di uscita, ho attraverso un policy routing (route map, offset list) oppure attraverso la dichiarazione di una rotta statica.
Se ho capito bene cosa ti serve.

Rizio
Si vis pacem para bellum
Top
giankyfava
Cisco power user
Messaggi: 76
Iscritto il: mar 28 dic , 2004 10:33 am

Rizio ha scritto:Devi gestire il routing nella sede di uscita, ho attraverso un policy routing (route map, offset list) oppure attraverso la dichiarazione di una rotta statica.
Se ho capito bene cosa ti serve.

Rizio
Intanto grazie.. credo tu abbia capito perfettamente... sai mica però dove potrei trovare qualche esempio di configurazione?
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

giankyfava ha scritto:Intanto grazie.. credo tu abbia capito perfettamente... sai mica però dove potrei trovare qualche esempio di configurazione?
Dipende su cosa ti vuoi buttare. Per quanto riguarda una rotta statica ti basta il canonico "ip route x.x.x.x x.x.x.x y.y.y.y" e sei a posto.
Se parli invece di off-set list o di route-map puoi cercare sul sito Cisco dove ci sono esempi e disquisizioni sull'argomento, io non ho nulla sotto mano da passarti.

Ciao
Rizio
Si vis pacem para bellum
Top
giankyfava
Cisco power user
Messaggi: 76
Iscritto il: mar 28 dic , 2004 10:33 am

Rizio ha scritto:
giankyfava ha scritto:Intanto grazie.. credo tu abbia capito perfettamente... sai mica però dove potrei trovare qualche esempio di configurazione?
Dipende su cosa ti vuoi buttare. Per quanto riguarda una rotta statica ti basta il canonico "ip route x.x.x.x x.x.x.x y.y.y.y" e sei a posto.
Se parli invece di off-set list o di route-map puoi cercare sul sito Cisco dove ci sono esempi e disquisizioni sull'argomento, io non ho nulla sotto mano da passarti.

Ciao
Rizio
No no la rotta statica va benissimo... quello che non riesco a capire è come fare a indirizzare solo gli ip remoti verso il gateway locale e solo quando si cerca un determinato ip pubblico (non voglio farli navigare con il gateway remoto...) Posso farlo con una access-list? Se sì, come?
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

giankyfava ha scritto:No no la rotta statica va benissimo... quello che non riesco a capire è come fare a indirizzare solo gli ip remoti verso il gateway locale e solo quando si cerca un determinato ip pubblico (non voglio farli navigare con il gateway remoto...) Posso farlo con una access-list? Se sì, come?
Dammi qualche ip di riferimento per fare un esempio calzante.

Altrimenti con un

Codice: Seleziona tutto

route outside 1.2.3.4 255.255.255.255 3.3.3.3
(assodando come 1.2.3.4 l'ip pubblico da raggiungere sull'asa remoto e 3.3.3.3 l'ip del default gw che vuoi venga utilizzato per raggiungere l'ip remoto)
dovresti essere in bolla.

Se poi vuoi controllare quello che passa, ossia che passi solo determinata roba lì dentro aggiungi una riga nell'acl che controlla l'interfaccia su cui deve uscire il pacchetto (o, ancora meglio all'ingresso)


Rizio
Si vis pacem para bellum
Top
giankyfava
Cisco power user
Messaggi: 76
Iscritto il: mar 28 dic , 2004 10:33 am

Rizio ha scritto:
giankyfava ha scritto:No no la rotta statica va benissimo... quello che non riesco a capire è come fare a indirizzare solo gli ip remoti verso il gateway locale e solo quando si cerca un determinato ip pubblico (non voglio farli navigare con il gateway remoto...) Posso farlo con una access-list? Se sì, come?
Dammi qualche ip di riferimento per fare un esempio calzante.

Altrimenti con un

Codice: Seleziona tutto

route outside 1.2.3.4 255.255.255.255 3.3.3.3
(assodando come 1.2.3.4 l'ip pubblico da raggiungere sull'asa remoto e 3.3.3.3 l'ip del default gw che vuoi venga utilizzato per raggiungere l'ip remoto)
dovresti essere in bolla.

Se poi vuoi controllare quello che passa, ossia che passi solo determinata roba lì dentro aggiungi una riga nell'acl che controlla l'interfaccia su cui deve uscire il pacchetto (o, ancora meglio all'ingresso)


Rizio
Eh così ho già provato, ma mi pare non funzioni poichè se faccio un "traceroute ip_che_voglio_raggiungere_passando_dal_gateway_remoto" vedo che instrada comunque passando dal gateway locale. Come metrica ho messo 1, la stessa della route locale (ovvero route outside 0.0.0.0 0.0.0.0 IP_ROUTER_ADSL 1), che sia sbagliata? Spero di essermi spiegato...
Top
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:
Contatta Rizio

giankyfava ha scritto:Eh così ho già provato, ma mi pare non funzioni poichè se faccio un "traceroute ip_che_voglio_raggiungere_passando_dal_gateway_remoto" vedo che instrada comunque passando dal gateway locale. Come metrica ho messo 1, la stessa della route locale (ovvero route outside 0.0.0.0 0.0.0.0 IP_ROUTER_ADSL 1), che sia sbagliata? Spero di essermi spiegato...
Ho bisogno di qualche dettaglio in più, copia/incolla un pò di conf (con gli ip cambiati).

Rizio
Si vis pacem para bellum
Top
Rispondi

Torna a “VPN”