Многоконтекстный ASA для VPN между сайтами Azure
-
Привет всем, У меня есть многоконтекстный FTD, на котором работает код ASA, и я хотел бы подключить один из контекстов к нашей среде Azure с помощью маршрутизированного VPN-соединения между сайтами . Я создал новый контекст, предназначенный исключительно для VPN-туннеля , и настроил управление ресурсами на FTD (с собственным классом — vpn) . По-видимому, это необходимо сделать для запуска VPN-туннелей в многоконтекстном брандмауэре, поскольку класс по умолчанию этого не позволяет. Вся конфигурация выглядит нормально на обоих концах туннеля, однако он не запускается . Ниже приведена конфигурация FTD . 1. Интерфейсы / подсети Внешний IP-адрес ASA на месте: 200.20.30.40 Внутренние сети локальной сети:
10.0.0.0/16, 192.168.1.0 /24, 208.96.168.0/21 Общедоступный шлюз Azure: 100.1.1.1 Подсеть Azure: 172.16.0.0 /16 Предварительно общий ключ: keepitsaf 2. Объекты -
объект-группа сети
obj-LAN подсеть 192.168.1.0 255.255.255.0 подсеть 10.0.0.0 255.255.0.0 подсеть 208.96.168.0 255.255.248.0 -
сеть объектов
obj-AZURE подсеть 172.16.0.0 255.255.0.0 3. Списки доступа access-list AZURE-ACL line 1 extended permit ip
object-group obj-LANobject obj-AZURE 4. NAT nat (any,outside) source static
obj-LANobj-LAN
destination static
obj-AZUREobj-AZURE
no-proxy-arp route-lookup 5. Политика IKEv2 crypto ikev2 policy 10
encryption aes-256
integrity sha256
group 14
prf sha256
lifetime seconds 28800
crypto ikev2 enable outside 6. Набор преобразований crypto ipsec ikev2 ipsec-proposal AZURE-PROPOSAL протокол esp шифрование aes-256 протокол esp целостность sha-256 7. Криптографическая карта crypto map AZURE-MAP 10 match address AZURE-ACL
crypto map AZURE-MAP 10 set pfs
crypto map AZURE-MAP 10 set peer 100.1.1.1
Криптографическая карта AZURE-MAP 10 set ikev2 ipsec-proposal AZURE-PROPOSAL
Криптографическая карта AZURE-MAP 10 set security-association lifetime seconds 3600
Криптографическая карта AZURE-MAP интерфейс outside 8. Группа туннелей tunnel-group 100.1.1.1 type ipsec-l2l
tunnel-group 100.1.1.1 ipsec-attributes
ikev2 remote-authentication pre-shared-key keepitsafe
ikev2 local-authentication pre-shared-key keepitsafe 9. Маршрутизация S* 0.0.0.0 0.0.0.0 [1/0] через 2.2.2.2, снаружи >>>>>>>>>>>>> ( 2.2.2.2 / 2.2.2.3 - основной коммутатор )
[1/0] через 2.2.2.3, снаружи
S 172.16.0.0 255.255.0.0 [1/0] через 100.1.1.1, снаружи
L 200.20.30.40 255.255.255.255 подключен напрямую, снаружи Кто-нибудь может помочь? Не понимаю, где я ошибаюсь? -
@HAT
Поскольку это новая настройка, я предполагаю, что вы можете пинговать внешние (т. е. 8.8.8.8) и внутренние сети с самого ASA? С VPN на основе политик (криптографическая карта) вам необходимо сгенерировать интересный трафик, чтобы туннель заработал. Запустите ping из одной из сетей LAN. Вам не нужен статический маршрут к 172.16.0.0 через публичный IP-адрес Azure. Трафик должен быть направлен во внешнюю сеть, где, если он соответствует крипто-ACL, будет зашифрован и направлен через VPN-туннель. нет маршрута за пределами 172.16.0.0 255.255.0.0 100.1.1.1 Ссылка на Azure —
https://learn.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-3rdparty-device-config-cisco-asa -
@Роб Ингрэм
Спасибо за отзыв . Да, я могу пинговать внешние и внутренние сети с ASA . Создам несколько , чтобы посмотреть, поможет ли это .
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти