route Outside 0 0 tunneled

[kobaiachi]

Sulla documentazione di ASA leggo che è possibile settare fino a 3 defualt route purche queste siano sulla stessa lan dell interfaccia .

Ora io avevo in mente di settarne due per il traffico internet ed una per il traffico VPN verso il centro stella :
quindi una cosa del tipo
route outside 0 0 192.168.2.254 tunneled
route outside 0 0 192.168.2.4
route outside 0 0 192.168.2.5

http://www.cisco.com/en/US/docs/securit ... tatic.html

quando pero inserisco la rotta per la vpn la vpn cade e non torna piu su

questa è la configurazione della VPN :

Codice: Seleziona tutto

access-list outside_1_cryptomap extended permit ip 10.20.5.0 255.255.255.0 10.1.6.0 255.255.255.0 
access-list outside_1_cryptomap extended permit ip 10.20.5.0 255.255.255.0 10.1.2.0 255.255.254.0 
access-list outside_1_cryptomap extended permit ip 10.20.5.0 255.255.255.0 192.168.30.0 255.255.255.0 
access-list outside_1_cryptomap extended permit ip 10.20.5.0 255.255.255.0 LanServerRoma 255.255.255.0 



access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 10.1.6.0 255.255.255.0 
access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 LanServerRoma 255.255.255.0 
access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 10.1.2.0 255.255.254.0 
access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 192.168.30.0 255.255.255.0 
access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 10.20.7.0 255.255.255.0 
access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 192.168.2.0 255.255.255.0 
access-list LOCALE_nat0_outbound_1 extended permit ip 10.20.5.0 255.255.255.0 object-group DM_INLINE_NETWORK_2 

nat (LOCALE) 1 10.20.5.0 255.255.255.0
global (outside) 1 interface

nat (LOCALE) 0 access-list LOCALE_nat0_outbound_1

access-group outside in interface outside


access-group LOCALE_access_in in interface LOCALE

route outside 0.0.0.0 0.0.0.0 192.168.2.254 1 (rotta originaria ) 

crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac 
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000

crypto map oustide_map 1 set security-association lifetime seconds 28800
crypto map oustide_map 1 set security-association lifetime kilobytes 4608000
crypto map outside_map 1 match address outside_1_cryptomap
crypto map outside_map 1 set pfs group1
crypto map outside_map 1 set peer 94.xx.xy.yx 
crypto map outside_map 1 set transform-set ESP-DES-SHA
crypto map outside_map interface outside
crypto isakmp identity address 
crypto isakmp enable outside
crypto isakmp policy 10
 authentication pre-share
 encryption des
 hash sha
 group 2
 lifetime 86400

su altri forums ho trovato la configurazione della rotta sulla interfaccia interna anche se non penso sia quello che serve a me

Cosa ne pensate, che opinione avete ?

[kobaiachi]

PLS HELP

[ghira]

PLS HELP

perche' vuoi 3 default route?

[kobaiachi]

perche dietro al firewall ci sono 3 router ognuno con una shdsl 2 mbit attaccata e voglio bilanciare il traffico internet su 2 connessioni e la vpn verso il centro stella sulla terza .
nel manuale asa dice che per fare questo basta settare le default route e poi la route per la tunneled dove dovrebbe essere instradato il traffico vpn .

preferirei usare questa tecnica al policy routing .

sopratutto perche è solo una soluzione temporanea che deve rimanere per un mesetto mentre metto su l'infrastruttura con VPN - GRE ed eigrp .

il problema è descritto in questo post :
http://www.ciscoforums.it/viewtopic.php?f=10&t=28298

[Gianremo.Smisek]

si, ma occhio... forse ti conviene DMVPN

[kobaiachi]

Ma DMVPN si puo fare con ASA ?

stavo leggendo questo documento è vedo che lo applica solo ai router
http://www.cisco.com/application/pdf/en ... 75ea98.pdf

a questo punto stavo pensando di mettere un 1921 (che ho a roma inutilizzato) come concetratore vpn spostare le vpn su questo ed mettere delle rotte statiche sull ASA .

che ne pensate