VPN che deve accedere ad 2 reti

Virtual private networks e affini

Moderatore: Federico.Lagni

Rispondi
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ciao volevo segnalare quaesta problematica.
Io da remoto riesco a stabile la connessione e funziona correttamente sulla rete 192.168.0.xxx, mentre non riesco a fargli passare anche la rete 192.168.2.xxx come posso fare? Si posso visualizzare 2 reti da remoto?
Grazie Mille
CiscoEVPN
Cisco power user
Messaggi: 76
Iscritto il: sab 08 nov , 2014 11:12 am

Ciao Dagoma,

E' possibile far comunicare una Lan di una sede con 2 Network di un'altra sede,
ma devi postare la conf perchè sia più chiara la tua topologia e cosa hai configurato :)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ciao e grazie per la risposta.
Adesso qui con me non ho uno show running, ma ho fatto tutto tramite wizard ... ed all'ultima schermata quando chiede con chi connettersi, ho inserito la prima interfaccia, poi dalla configurazione alla policy della vpn ho aggiunto , l'altra rete(non interfaccia). Poi alla fine un minimo di funzionalita l'ho ottenuta mettendo le interfaccie interne trustate.

Piu' tardi ti invio sh run

grazie ancora
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

P.S. ho dimenticato di dirti che la ipsec ... non mi sale, ed il problema c'e' l'ho con l'anyconnect SSL.

Ciao e grazie
CiscoEVPN
Cisco power user
Messaggi: 76
Iscritto il: sab 08 nov , 2014 11:12 am

Ciao Dagoma,

Posta la conf, VPN SSL ed IPSEC sono cose differenti
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Codice: Seleziona tutto

Result of the command: "show running-config"

: Saved
:
ASA Version 9.0(1) 
!
hostname XXXXXo
domain-name XXXXXXX.com
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
ip local pool vpn-Pool 192.168.10.1-192.168.10.11 mask 255.255.255.0
!
interface Ethernet0/0
 switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
 nameif inside
 security-level 100
 ip address dhcp setroute 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address dhcp 
!
ftp mode passive
dns server-group DefaultDNS
 domain-name XXXXXXX.com
object network obj_any
 subnet 0.0.0.0 0.0.0.0
object network NETWORK_OBJ_192.168.10.0_28
 subnet 192.168.10.0 255.255.255.240
object-group protocol DM_INLINE_PROTOCOL_1
 protocol-object icmp
 protocol-object icmp6
access-list outside_access_in extended permit object-group DM_INLINE_PROTOCOL_1 any any 
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (inside,outside) source static any any destination static NETWORK_OBJ_192.168.10.0_28 NETWORK_OBJ_192.168.10.0_28 no-proxy-arp route-lookup
!
object network obj_any
 nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.1.254 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac 
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac 
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac 
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set pfs 
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto ca trustpool policy
crypto ikev1 enable outside
crypto ikev1 policy 10
 authentication crack
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 20
 authentication rsa-sig
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 30
 authentication pre-share
 encryption aes-256
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 40
 authentication crack
 encryption aes-192
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 50
 authentication rsa-sig
 encryption aes-192
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 60
 authentication pre-share
 encryption aes-192
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 70
 authentication crack
 encryption aes
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 80
 authentication rsa-sig
 encryption aes
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 90
 authentication pre-share
 encryption aes
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 100
 authentication crack
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 110
 authentication rsa-sig
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 120
 authentication pre-share
 encryption 3des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 130
 authentication crack
 encryption des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 140
 authentication rsa-sig
 encryption des
 hash sha
 group 2
 lifetime 86400
crypto ikev1 policy 150
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
management-access inside

dhcpd auto_config outside
!
dhcpd address 192.168.0.5-192.168.0.254 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
 anyconnect-essentials
group-policy basso internal
group-policy basso attributes
 dns-server value 192.168.0.111
 vpn-tunnel-protocol ikev1 
 default-domain value oliobasso.com
username user1 password lG09RCTFIRzUrwtb encrypted privilege 0
username user1 attributes
 vpn-group-policy basso
tunnel-group basso type remote-access
tunnel-group basso general-attributes
 address-pool vpn-Pool
 default-group-policy basso
tunnel-group basso ipsec-attributes
 ikev1 pre-shared-key *****
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
no call-home reporting anonymous
Cryptochecksum:382ce55a6217fb27d8832cf779df46f9
: end
Ecco questa sopra e' lo show run .
La situazione attuale e' semplice e funzionante perche' ho ripulito tutti i pasticci che avevo combinato. Cosi come lo ho postato funziona tutto. Adesso quale e' il problema. Devo far visualizzare da vpn una rete aggiuntiva, rispetto alla inside 192.168.0.1 che fisicamente e' collegata anche al mio firewall, ma che non viene visualizzata da nessuna postazione ed e' ok, ma occorre solo a questa persona che mi si connette da remoto. Questa rete aggiuntiva prettamente di plc e macchinari e' la 192.168.2.0 . COn il vecchio fortinet l'altro sistemista aveva aggiunto un ip della 192,168.2.254 sulla inside .. e sembra tutto funzionare.
Quesito n.1 come faccio a mettere un ip aggiuntivo su una interfaccia?
Secondo voi funzionerebbe?
Vi propongo adesso La mia soluzione nn funzionale. Ho tirato su una vpn ssl con anyconnect, ho messo su un altra ethernet un altra lan (plc 192.168.2.254) risultato ... dal firewall asa5505 pingavo la lan ... dalla vpn no, fin quando non ho cambiato l'indirizzo ad un pc che fa da gw 192.168.2.1 ed allora pingavo tutta la rete ....anche da remoto, ma con la ssl purtroppo poi non funzionava l'applicativo per cui si erano connessi.
Insomma Aiuto!!!!
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ho riletto, mi rendo conto di aver incasinato un po' la cosa, cerco di fare una richiesta in maniera piu' chiara.
Il mio Firewall ha configurato rete:
Inside 192.168.0.1 che funziona correttamente e viene visualizzata correttamente in vpn ipsec
Problema:
Nell'ambito della rete inside, sugli stessi switch e' presente una rete utilizzata per lo piu' da PLC ed altri apparati con i quali io non interagisco. Io devo creare una vpn che riesca a pingare e lavorare anche sulla 192.168.2.0
Come fare?
mettere un indirizzo aggiunto sulla mia inside? e' possibile?
Ciao vi ringrazio anticipatamente.
Lo show run e' presente nel post precedente.
CiscoEVPN
Cisco power user
Messaggi: 76
Iscritto il: sab 08 nov , 2014 11:12 am

Ciao

Sono sinceramente digiuno di ASA da tempo, comunque:

1) Crei una Vlan DMZ con IP:192.168.2.0/24
2) Metti in Trunk la porta dell'ASA che collega allo Switch
3) Aggiungi in Trunk le 2 Vlan, Inside e DMZ affinché possano essere entrambe trasportate
4) Aggiungi la Network DMZ alla configurazione VPN IPsec che hai già, affinché sia raggiungibile


Suggerimento: butta dalla finestra l'ASDM dell'ASA ovvero l'interfaccia WEB, come hai potuto constatare alla fine la conf risulta molto incasinata!! :roll:

Cancella tutto e fai una configurazione pulita, la CLI, ostica all'inizio, aiuta sempre alla lunga
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ciao, grazie per la risposta, mmi sembra una buona soluzione la tua a breve la provo e ti dico anche se gia' ti chiedo alcune cose, cioe non avrei problemi a riconfigurare le network a mano , ma la vpn sono abituato a farla con l'asdm ... e mi sono sempre ritrovato .... mo questa mi mette un po' in difficolta ... cmq risistemo il tutto e vediamo se va!!! Ti tengo aggiornato.
Per tutti, ovviamente sono ben accetti altri consigli. Ciaooo e grazie ancora
Rispondi