CiscoForums.it

Ciao a tutti

un cliente ha due sedi separate geograficamente, in entrambe c'è un asa 5505, un router adsl e un router hdsl.
Sulla porta esterna degli asa è collegato il router adsl e tramite questo collegamento ho attivato una vpn site-to-site gestita dai firewall.

I router hdsl hanno indirizzo facente parte delle rispettive reti lan interne, quindi sono collegati alla porta interna dell'asa. Qui la vpn e configurata sugli apparati hdsl, non sugli asa.

Le perplessità sono:

principalmente vorrei che il traffico vpn passasse dall'hdsl e contemporaneamente tutto il resto dall'adsl.
In seconda battura vorrei sapere se è possibile far si che in caso di caduta della vpn su hdsl entri in funzione quella su adsl e in caso contrario, quindi se va giù l'adsl, tutto il traffico passi per l'hdsl.

Per concludere in bellezza sugli asa ho la licenza standard e non quella sec ma avendo il router hdsl sulla porta interna del firewall potrebbe non essere un problema, o no ?

Questa è la situazione, qualche buon sammaritano può indicarmi la via se c'é, o almeno dirmi se non si può fare.

Grazie e a tutti e buone sudate visti i 33 gradi di oggi.

Aggiorna gli ASA con la licenza security, poi segui questa linea guida http://www.cisco.com/en/US/products/hw/ ... 880b.shtml

Oppure fau gesti il routing dai router hdsl, sperando siano Cisco

Ti ringrazio KetVet ma rispondi solo in piccola parte ai miei quesiti e conosco bene la config degli asa con la licenza SEC. L'ho postata io in un altro topic

Altri suggerimenti ?

Sbagli, perchè ti ho già risposto alle tue perplessità:

Oppure fau gesti il routing dai router hdsl, sperando siano Cisco

hai ragione, mi sono dimenticato di dirti che i router hdsl non posso toccarli, sono in comodato. Excuse-moi

Nessuna anima pia ?

avete bisogno di maggiori informazioni ?

Mi basterebbe anche un "si può fare ma non so come" o un "assolutamente non si può fare".

Grazie per l'eventuale interessamento

Così come son messi non si può fare ...
Se non puoi mettere mano ai router HDSL, bisogna comprare altri due router ceh facciamo da default gateway, a meno che, tu no abbia un o switch L3

Grazie KetVet, apprezzo molto l'interessamento.

Se imposto le route sugli asa nel seguente modo secondo te può funzionare ?

route inside "Lan dell'altra sede (B)" "ip router hdsl" "metrica 1"
route outside 0.0.0.0 0.0.0.0 "ip router adsl" "metrica 2"

Faccio un esempio con degli IP

Lan sede A - 192.168.1.0/24
Router Hdsl sede A - 192.168.1.10
router adsl sede A - 88.88.88.88
interfaccia interna Asa sede A - 192.168.1.254/24
interfaccia out Asa sede A - 88.88.88.89
Lan sede B - 192.168.2.0/24


Le route sull'asa della sede A diventano così:

route inside 192.168.2.0 255.255.255.0 192.168.1.10 1
route outside 0.0.0.0 0.0.0.0 88.88.88.88 2

In questo modo, dalla sede A, se qualcuno vuole andare su un pc o server della rete B verrà reindirizzato dall'asa, tramite la sua interfaccia interna, sul router hdsl che via VPN lo manda dall'altra parte.

Il traffico non destinato alla Lan della sede B, sfruttando la route con metrica 2, dovrebbe andare tramite la porta out dell'asa verso il router adsl e quindi in internet.

Già sapere se questo sugli asa si può fare sarebbe una gran cosa.

Si può fare ma, non è consigliato ... Nel senso che il routing lo deve gestire un router oppure uno switch L3.
Puoi sempre provare anche perchè non hai alternative!

aggiornamento

forse la configurazione tramite le route degli asa si può anche fare però a me non ha funzionato. La stessa cosa in passato l'avevo fatta su dei pix 501 e con esito positivo ... mah. Ci sarà sicuramente qualcosa che non ho considerato nel modo giusto.

Se al posto degli asa 5505 usassi dei pix506 potrei in qualche modo gestire una configurazione tipo quella del link che riporto di seguito ?

http://www.cisco.com/en/US/products/hw/ ... 880b.shtml

naturalmente avendo il pix506 solo la lan int e quella out non so proprio come possa ma le vie dei cisco sono infinite, o quasi.

Ora i firewall fisici Cisco gestiscono le route-map quindi puoi fare source e policy routing

Ciao Wizard

Grazie mille per la preziosa informazione.

Ho provato a dare un'occhiata veloce al sito cisco ma non ho trovato link semplici e/o particolarmente intuitivi da poter postare sul forum per dare a tutti qualche esempio.

Se ti capita di trovarne ne metti qualcuno ?

Se sai fare una route-map su un router farla sul fw è uguale