asa 5505 con doppia route x adsl ridondante (backup)

[risk]

Ciao a tutti

Dovrei configurare un Asa 5505 nel seguente modo.

La VPN, che collega due sedi diverse dove dall'altra parte ho un altro asa identico, deve coinvogliare tutto il traffico, tranne quello per la navigazione web, su una connessione VPN su adsl già esistente e funzionante.
Il traffico web, quindi la navigazione pura e semplice, dovrebbe andare su una nuova linea adsl appena installata.

Oltre a tutto ciò, anche sulla seconda adsl è stata configurata una vpn, così da avere ridondanza ripetto alla prima.

Quindi, un cisco asa 5505 come gateway per tutta la mia rete con due router adsl, uno primario e uno secondario per la vpn e viceversa per il web.

Per la parte riguardante le vpn statiche ridondanti pensavo che configurare sull'asa una doppia route statica con metrica diversificata potesse fare al caso mio. Non voglio fare il bilanciamento delle linee, anche perché se non erro con gli asa non si può fare, ma solo il backup della linea.
Naturalmente dovrei anche impostare una acl che mi diriga tutto il traffico web sulla route secondaria.

Potreste darmi una mano ?
Qualcuno mi sa dire se il ragionamento fila ?

oltre a ciò mi suggerite l'acl corretta, potendo fare le modifiche all'asa solo da remoto non vorrei sbagliare.

Grazie e chiunque abbia voglia di aiutarmi perdendo qualche minuto.

[risk]

ho trovato il seguente link molto interessante

http://www.cisco.com/en/US/products/hw/ ... 880b.shtml

con questo posso procedere per la linea di backup, ora continuo a cercare indicazioni per l'acl da impostare per il traffico web.

[luca.prina]

Ciao risk,
sto per mettermi anche io a fare una config simile al documento che hai postato... speriamo funzioni
L'unica cosa da rilevare è che l'adsl di backup non è mai attiva (poichè la route è impostata con distanza amministrativa 254).. viene attivata solo quando il canale principale va giu.
Tra le altre cose.. come controllo della linea primaria è necessario impostare un host da pingare... io pensavo all' ip della punto-punto dall' altro "lato" dell' adsl ... in questo modo se l'adsl si disallinea o l' atm del router va in shutdown l'asa dovrebbe accorgersene e attivare la secondaria.
Secondo voi il ragionamento fila?
ovviamente ogni regola in ingresso dovrà avere il doppione relativo all'ip pubblico della linea di backup...

Vediamo un po come va.. aggiorniamo magari il post x tutti.
saluti
Luca

[risk]

Ciao Luca

Io, come da link postato precedentemente, proverò a mettere il gateway della linea adsl ma credo che anche un ip dall'altro lato come dicevi tu potrebbe andare bene.
Si, per quanto ne so io gli asa non gestiscono il bilanciamento ma solo il backup, quindi, giù la prima linea su quella di backup.
A fine lavori vedrò anche di capire con che sollecitudine si rimette sulla prima route una volte che questa si è ristabilita.

Purtroppo vedo che nessuno mi suggerisce l'acl per dirigere il traffico web e mail sulla route secondaria. Pazienza, proverò in autonomia.

Fammi sapere anche tu come procedono i lavori. Ciao.

[luca.prina]

Ciao a tutti.
ho effettuato l'intervento proprio stamattina e (parlando piano x scaramanzia) sembra funzionare..
non ho ancora provato a simulare il down della linea principale (devo trovare un momento adatto) però sembra che il monitor dall'altro lato della punto-punto funzioni a dovere.
Ora devo cimentarmi anche io nelle acl "secondarie".. a me servirebbe solo smtp ma credo che anche x web la cosa sia simile.
L'idea è quella di tentare con la strada "consueta" però non so come reagisca il pix quando do il secondo comando static... proverò e ti faccio sapere!
in ogni caso ho seguito esattamente la config riportata nel documento cisco.

ciao ciao
Luca

[risk]

Molto bene. Mi fa piacere.

In questi giorni devo andare anch'io a mettere giù
gli asa con questa config, ti tengo al corrente.

Spero sempre in qualche suggerimento per le acl ma credo che i guru nei quali riponevo le mie speranze siano impegnati.
Se imposti prima tu le regole mi aggiorni per cortesia ?

Grazie mille, ciao.

[Wizard]

Purtroppo vedo che nessuno mi suggerisce l'acl per dirigere il traffico web e mail sulla route secondaria

Semplicemente perchè nn puoi farlo ancora...

Sui FW Cisco il source routing ad oggi nn lo puoi gestire

[risk]

o porca !!

quindi non posso creare due route su due adsl e gestire il passaggio dei protocolli.
Mi spiego meglio.
Se volessi far passare sulla route primaria il traffico della vpn statica e basta, quindi solo il traffico che si dirige verso la lan della sede perferica e sull'adsl secondaria far passare solo il traffico web, pop3 ed smtp ?

Mi confermi che non si può fare ?

Avrei due route e delle acl sul www, pop3 ed smtp no ?

e se invece di usare le acl impostassi più route ?

Es.

route outside 10.1.1.0 255.255.255.0 10.2.2.1 1 track 1
route outside 10.1.1.0 255.255.255.0 10.3.3.1 2
route outside 0.0.0.0 0.0.0.0 10.3.3.1 3
route outside 0.0.0.0 0.0.0.0 10.2.2.1 4

nei parametri del track ho messo come ip da "pingare" l'indirizzo del router dall'altra parte della vpn.

naturalmente sull'altro asa ho fatto la stessa cosa ma con ip inversi.

pareri ?

[luca.prina]

Ciao a tutti,
se nn ho capito male le due linee NON possono essere contemporaneamente attive.
Resta da capire (e penso di provare a brevissimo) se con la config suggerita nel doc cisco nel caso di fail della linea primaria si possono attivare comandi static e acl sulla secondaria che permettano traffico in inbound (es record MX di backup... che tra l'altro è la cosa che devo fare io )

A questo punto.. non mi resta che provare!
Vi faccio sapere!
ciao ciao
Luca

[luca.prina]

Ciao a tutti.
Ho effettuato un test in produzione ed effettivamente con la config suggerita nel documento e:

Codice: Seleziona tutto

access-list OUTSIDE_BACKUP_IN extended permit tcp ....
static (dmz,outside_backup) tcp interface ....

dove ovviamente l'interfaccia outside_backup e' la "secondaria"
riesco ad attivare il mio record MX di backup qualora la linea primaria non sia attiva. Quando la linea primaria si riattiva tutto torna come in origine.
Quindi direi che il test ha dato esito positivo.
Spero vi possa essere d'aiuto...

saluti
Luca