VPN site à site Cisco IPSec. Autoriser le trafic si le VPN est en panne

9

Planification de la configuration «ceinture et bretelles».

Contexte:

Nous avons un lien VPN de site à site réussi vers notre centre de données distant.

Le réseau «protégé» distant est également la gamme de réseaux IP qui est ouverte via le pare-feu en tant que points d'extrémité faisant face à Internet.

Ainsi : Nous utilisons le VPN pour pouvoir accéder à des points de terminaison non publics.

Énoncé du problème :

Si la liaison VPN est en panne, l'ASA baisse le trafic, même si les points de terminaison Internet doivent toujours être disponibles via le pare-feu distant.

Question :

Comment puis-je configurer le VPN pour «passer» le trafic en tant que trafic sortant normal, lorsque le VPN est en panne.

Voici les segments pertinents de la configuration.

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

L'ACL de correspondance du trafic est très primitive: elle spécifie les deux réseaux, privé et distant, exprimés en objets réseau.

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log 

Et un diagramme primitif.

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

Merci

Rob

Mise à jour 01

Un ACL plus précis a été discuté dans les commentaires ci-dessous (avec remerciements)

Je peux envisager deux ACLS. (A) qui autorise TOUS les accès au réseau distant, puis refuse les points de terminaison déjà disponibles sur Internet. et (B) qui ouvre uniquement la gestion / l'instrumentation selon les besoins.

Le problème avec (B) est qu'il est impossible d'exprimer des points de terminaison tels que WMI et Windows RPC sans modifier la configuration standard du serveur)

Donc, peut-être que (A) est la meilleure approche qui devient un inverse de la configuration du pare-feu distant .

Mise à jour 02

Mike a demandé à voir plus de la configuration ios de l'ASA.

Ce qui suit est pour le QG ASA qui se trouve sur le site du QG. Le DC distant est sous le contrôle du fournisseur du centre de données, et je ne peux donc pas commenter exactement comment cela peut être configuré.

Eh bien, il n'y a pas grand-chose à montrer: il existe une route par défaut vers la passerelle Internet et aucune autre route spécifique.

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

Les interfaces sont très basiques. Seule la configuration IPv4 de base et les VLAN pour diviser le groupe en 1 interface extérieure et 1 interface intérieure.

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

À la vôtre, Rob

Rob Shepherd
la source
Il n'est pas clair pour moi si vous souhaitez accéder à des adresses privées lorsque le VPN est en panne.
radtrentasei
Pouvez-vous fournir un schéma de la connectivité? La solution que nous proposons dépendra probablement de la configuration et de l'équipement spécifiques.
Brett Lykins
Le réseau dit «protégé» est en fait un segment IP public. Il est protégé par un pare-feu mais pas NAT-ed. Idéalement, lorsque le VPN est en panne, les points de terminaison publics devraient toujours être accessibles.
Rob Shepherd
1
Un ACL plus précis est probablement votre meilleur pari. Vous pouvez également créer un tunnel GRE à l'intérieur du VPN, mais cela nécessiterait plus de matériel. Si vous publiez plus de détails sur l'ACL, nous pouvons vous aider. Peut-être changer les deux premiers chiffres pour protéger les innocents?
Ron Trunk
1
Rob, pourriez-vous nous donner plus de la configuration de l'ASA? Plus précisément, les configurations de routage / interface seraient utiles à voir
Mike Pennington

Réponses:

2

Je suis maintenant d'avis que ce n'est pas pratique; au moins dans notre scénario particulier.

Le schéma est encore compliqué par le fait que le trafic "vers le tunnel" est sélectionné par ACL entre HQ et RemoteDC, (et ainsi nous pouvons le rendre aussi compliqué que nous voulons), mais sur le "chemin" inverse (pour ainsi dire), le Le concentrateur VPN à l'extrémité distante sélectionne l'ensemble du réseau HQ comme réseau protégé.

Le résultat est que ceux-ci ne s'équilibrent pas et il semble que les xlates avant et arrière ne correspondent pas. Semblable à des itinéraires avant et arrière qui provoquent l'échec du trafic car le NAT est en jeu à un moment donné.

Essentiellement - cela est éliminé comme «risque technique trop élevé» et nécessite beaucoup plus d'évaluation et peut-être plus de contrôle sur l'extrémité distante avant qu'elle ne devienne une solution.

Merci à tous ceux qui ont regardé ça.

Rob Shepherd
la source
Merci pour le suivi ... J'espérais que nous trouverions une solution avec un protocole de routage dynamique sur ipsec; même si je dois avouer que je n'ai pas d'expérience de première main avec cette solution.
Mike Pennington
0

Si vous avez ou pouvez installer un routeur à l'intérieur de chaque ASA, vous pouvez créer un tunnel GRE chiffré et utiliser le routage ou une statique flottante pour échouer sur Internet.

etiedem
la source