Salve,
ho una vpn l2l fra A e B realizzata con 2 asa. Ho la necessità che gli host della sede B utilizzino come gateway l'asa della sede A solamente per un determinato applicativo (cioè quando voglio raggiungere un determinato ip pubblico). E' possibile realizzare questo tipo di configurazione? Se sì, come? Grazie già da ora...
VPN L2L con ASA e utilizzo gateway remoto...
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Devi gestire il routing nella sede di uscita, ho attraverso un policy routing (route map, offset list) oppure attraverso la dichiarazione di una rotta statica.
Se ho capito bene cosa ti serve.
Rizio
Se ho capito bene cosa ti serve.
Rizio
Si vis pacem para bellum
-
- Cisco power user
- Messaggi: 76
- Iscritto il: mar 28 dic , 2004 10:33 am
Intanto grazie.. credo tu abbia capito perfettamente... sai mica però dove potrei trovare qualche esempio di configurazione?Rizio ha scritto:Devi gestire il routing nella sede di uscita, ho attraverso un policy routing (route map, offset list) oppure attraverso la dichiarazione di una rotta statica.
Se ho capito bene cosa ti serve.
Rizio
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Dipende su cosa ti vuoi buttare. Per quanto riguarda una rotta statica ti basta il canonico "ip route x.x.x.x x.x.x.x y.y.y.y" e sei a posto.giankyfava ha scritto:Intanto grazie.. credo tu abbia capito perfettamente... sai mica però dove potrei trovare qualche esempio di configurazione?
Se parli invece di off-set list o di route-map puoi cercare sul sito Cisco dove ci sono esempi e disquisizioni sull'argomento, io non ho nulla sotto mano da passarti.
Ciao
Rizio
Si vis pacem para bellum
-
- Cisco power user
- Messaggi: 76
- Iscritto il: mar 28 dic , 2004 10:33 am
No no la rotta statica va benissimo... quello che non riesco a capire è come fare a indirizzare solo gli ip remoti verso il gateway locale e solo quando si cerca un determinato ip pubblico (non voglio farli navigare con il gateway remoto...) Posso farlo con una access-list? Se sì, come?Rizio ha scritto:Dipende su cosa ti vuoi buttare. Per quanto riguarda una rotta statica ti basta il canonico "ip route x.x.x.x x.x.x.x y.y.y.y" e sei a posto.giankyfava ha scritto:Intanto grazie.. credo tu abbia capito perfettamente... sai mica però dove potrei trovare qualche esempio di configurazione?
Se parli invece di off-set list o di route-map puoi cercare sul sito Cisco dove ci sono esempi e disquisizioni sull'argomento, io non ho nulla sotto mano da passarti.
Ciao
Rizio
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Dammi qualche ip di riferimento per fare un esempio calzante.giankyfava ha scritto:No no la rotta statica va benissimo... quello che non riesco a capire è come fare a indirizzare solo gli ip remoti verso il gateway locale e solo quando si cerca un determinato ip pubblico (non voglio farli navigare con il gateway remoto...) Posso farlo con una access-list? Se sì, come?
Altrimenti con un
Codice: Seleziona tutto
route outside 1.2.3.4 255.255.255.255 3.3.3.3
dovresti essere in bolla.
Se poi vuoi controllare quello che passa, ossia che passi solo determinata roba lì dentro aggiungi una riga nell'acl che controlla l'interfaccia su cui deve uscire il pacchetto (o, ancora meglio all'ingresso)
Rizio
Si vis pacem para bellum
-
- Cisco power user
- Messaggi: 76
- Iscritto il: mar 28 dic , 2004 10:33 am
Eh così ho già provato, ma mi pare non funzioni poichè se faccio un "traceroute ip_che_voglio_raggiungere_passando_dal_gateway_remoto" vedo che instrada comunque passando dal gateway locale. Come metrica ho messo 1, la stessa della route locale (ovvero route outside 0.0.0.0 0.0.0.0 IP_ROUTER_ADSL 1), che sia sbagliata? Spero di essermi spiegato...Rizio ha scritto:Dammi qualche ip di riferimento per fare un esempio calzante.giankyfava ha scritto:No no la rotta statica va benissimo... quello che non riesco a capire è come fare a indirizzare solo gli ip remoti verso il gateway locale e solo quando si cerca un determinato ip pubblico (non voglio farli navigare con il gateway remoto...) Posso farlo con una access-list? Se sì, come?
Altrimenti con un(assodando come 1.2.3.4 l'ip pubblico da raggiungere sull'asa remoto e 3.3.3.3 l'ip del default gw che vuoi venga utilizzato per raggiungere l'ip remoto)Codice: Seleziona tutto
route outside 1.2.3.4 255.255.255.255 3.3.3.3
dovresti essere in bolla.
Se poi vuoi controllare quello che passa, ossia che passi solo determinata roba lì dentro aggiungi una riga nell'acl che controlla l'interfaccia su cui deve uscire il pacchetto (o, ancora meglio all'ingresso)
Rizio
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ho bisogno di qualche dettaglio in più, copia/incolla un pò di conf (con gli ip cambiati).giankyfava ha scritto:Eh così ho già provato, ma mi pare non funzioni poichè se faccio un "traceroute ip_che_voglio_raggiungere_passando_dal_gateway_remoto" vedo che instrada comunque passando dal gateway locale. Come metrica ho messo 1, la stessa della route locale (ovvero route outside 0.0.0.0 0.0.0.0 IP_ROUTER_ADSL 1), che sia sbagliata? Spero di essermi spiegato...
Rizio
Si vis pacem para bellum