Вы здесь

ASA и туннель GRE

Как известно, ASA не поддерживает протокол GRE, поэтому для построения туннелей между офисами приходится использовать схему ASA+Router.
Самый интересный вопрос как лучше?

Схема 1

Данная схема подразумевает построение туннеля силами маршрутизатора, т.е. у маршрутизатора есть public ip address.
Схема рабочая.
Минус данной схемы в том, что и шифрование нужно делать также силами маршрутизатора, которое как известно запрещено в РФ.
Если делать всё по закону, см. схему2 либо покупай RVPN.
asa_i_tunnel_gre_scheme1_ciscomaster.ru.jpg
ASA и туннель GRE: конфиги

Схема 2

asa_i_tunnel_gre_scheme2_ciscomaster.ru.jpg
В данном случае туннель IPSec будет строиться силами движка ASA.
GRE в свою очередь будет строиться внутри туннеля IPSec.

STEP 1: Configure Interesting Traffic

msk-asa-01

access-list lo2-to-lo252 extended permit ip 10.255.255.2 255.255.255.255 10.255.255.252 255.255.255.255

asa1

access-list lo252-to-lo2 extended permit ip 10.255.255.252 255.255.255.255 10.255.255.2 255.255.255.255

NAT Exclusion for VPN Traffic

msk-asa-01

object network obj-local-lo2 host 10.255.255.2 ! object network obj-remote-lo252 host 10.255.255.252 ! nat (dmvpn,outside) 10 source static obj-local-lo2 obj-local-lo2 destination static obj-remote-lo252 obj-remote-lo252

asa1

object network obj-local-lo252 host 10.255.255.252 ! object network obj-remote-lo2 host 10.255.255.2 ! nat (dmvpn,outside) 10 source static obj-local-lo252 obj-local-lo252 destination static obj-remote-lo2 obj-remote-lo2

STEP 2: Configure Phase 1 (IKEv1 or ISAKMP)

msk-asa-01

crypto ikev1 policy 10 authentication pre-share encryption des hash sha group 2 lifetime 3600
crypto ikev1 enable outside crypto isakmp identity address
tunnel-group 62.105.149.229 type ipsec-l2l tunnel-group 62.105.149.229 ipsec-attributes ikev1 pre-shared-key tststrongkey

asa1

crypto ikev1 policy 10 authentication pre-share encryption des hash sha group 2 lifetime 3600
crypto ikev1 enable outside crypto isakmp identity address
tunnel-group 62.105.149.226 type ipsec-l2l tunnel-group 62.105.149.226 ipsec-attributes ikev1 pre-shared-key tststrongkey

STEP 3: Configure Phase 2 (IPSEc)

msk-asa-01

crypto ipsec ikev1 transform-set msk-asa-01TS esp-des esp-sha-hmac crypto map MSK-ASA-01VPN 10 match address lo2-to-lo252 crypto map MSK-ASA-01VPN 10 set peer 62.105.149.229 crypto map MSK-ASA-01VPN 10 set ikev1 transform-set msk-asa-01TS crypto map MSK-ASA-01VPN 10 set security-association lifetime seconds 3600 crypto map MSK-ASA-01VPN interface outside

asa1

crypto ipsec ikev1 transform-set asa1TS esp-des esp-sha-hmac crypto map ASA1VPN 10 match address lo252-to-lo2 crypto map ASA1VPN 10 set peer 62.105.149.226 crypto map ASA1VPN 10 set ikev1 transform-set asa1TS crypto map ASA1VPN 10 set security-association lifetime seconds 3600 crypto map ASA1VPN interface outside

Проверка

show crypto isakmp sa
show crypto ipsec sa

ASA и туннель GRE: конфиги

Комментарии

спасибо)))

Это конечно все хорошо.. но где настройка gre тунеля на маршрутизаторах внутри IPsec?

А можно Вас попросить показать конфиги с роутеров, на которых подняты GRE-туннели.

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Допустимые HTML-теги: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Строки и абзацы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и абзацы переносятся автоматически.
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.
Target Image