一点“腰带和背带”配置规划。
背景:
我们有一个成功的站点到站点 VPN 链接到我们的远程数据中心。
远程“受保护”网络也是作为面向 Internet 的端点通过防火墙开放的 IP 网络范围。
因此:我们使用 VPN 来访问非公共端点。
问题陈述:
如果 VPN 链路关闭,ASA 会丢弃流量,即使 Internet 端点应该仍可通过远程防火墙使用。
问题:
当 VPN 关闭时,如何配置 VPN 以将流量作为常规传出流量“传递”。
这是配置的相关部分。
crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside
匹配流量的 ACL 非常原始:它指定了两个网络,私有和远程,表示为网络对象。
access-list remdc-vpn-acl extended permit ip object <private> object <remote> log
和一个原始图。
INTERNET
x
x
REM DC 203.000.113.000/24 xx HQ 192.168.001.000/24
x
+---------------+ x +-----------+
| REMOTE DC | xx | |
| ASA e xxx | ASA 5505 |
+----------+ | xx | +-----------------+
^ | e<-------------------------------------+ |
| | | xxxx | |
| | e xxxx | ~ |
| | | xx | | |
| | | xx +----vpn----+
| | | x |
\-------vpn-------------vpn--------------------------------------/
| | xxx
+---------------+ xx
xxx
xx
xxxx
e = public Internet x
server endpoint
谢谢
抢
更新 01
下面的评论中讨论了更精确的 ACL(感谢)
我可以设想两个ACLS。(A) 允许 ALL 到远程网络,然后拒绝已经通过 Internet 可用的端点。(B) 仅根据需要打开管理/仪表。
(B) 的问题在于,在不调整标准服务器配置的情况下,表达诸如 WMI 和 Windows RPC 之类的端点是不切实际的)
所以,也许 (A) 是最好的方法,它成为远程防火墙配置的反面。
更新 02
Mike 要求查看更多 ASA 的 ios 配置。
下面是位于总部站点的 HQ ASA。远程 DC 由数据中心提供商控制,因此我无法评论它的确切配置方式。
嗯,没什么可显示的:有一个到 Internet 网关的默认路由,没有其他特定的路由。
route outside 0.0.0.0 0.0.0.0 HQInetGateway 1
接口是非常基本的。只有基本的 IPv4 配置和 vlan 才能将组分成 1 个外部接口和 1 个内部接口。
interface Vlan1
nameif inside
security-level 100
ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 194.28.139.162 255.255.255.0
!
干杯,罗布