https://opennet.dev/openforum/vsluhforumID6/1194.html Доброго времени суток!<br>Задача и, собственно говоря, проблема в том что мне надо выпускать трафик через VPN. Но сделать это нужно по схеме :<br><br>router -&gt; ASA -&gt;(tun ipsec)-&gt; ASA -&gt; internet!!!<br><br>Использовал я для этого site-to-site, но беда в том, что при настройке данного типа VPN трафик пробрасывается из КОНКРЕТНОЙ сети в КОНКРЕТНУЮ, а мне нужен весь интернет, то есть далеко не конкретная сеть...<br><br>Есть какие-нибудь соображения по этому поводу? Может возможен другой подход? <br>Уважаемые профессионалы поделитесь опытом)<br> https://opennet.dev/openforum/vsluhforumID6/1194.html#20 Mon, 03 Feb 2014 07:27:18 GMT <br>&gt;&gt; Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! ) <br>&gt; И в чём же была причина?<br><br>Как изначально хотел, не получилось, но вариант с маршрутизаторами, предложенны выше, нормально прошел, его и использую )<br><br> https://opennet.dev/openforum/vsluhforumID6/1194.html#19 Mon, 27 Jan 2014 05:06:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; crypto map internet interface outside <br>&gt;&gt;&gt; access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 <br>&gt;&gt;&gt; tunnel-group x.x.x.x type ipsec-l2l <br>&gt;&gt;&gt; tunnel-group x.x.x.x ipsec-attributes <br>&gt;&gt;&gt; pre-shared-key secret <br>&gt;&gt;&gt; crypto isakmp policy 1 <br>&gt;&gt;&gt; .............<br>&gt;&gt; Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах <br>&gt;&gt; расположить?<br>&gt; Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! ) <br><br>И в чём же была причина?<br> https://opennet.dev/openforum/vsluhforumID6/1194.html#18 Sat, 25 Jan 2014 06:52:32 GMT &gt;[оверквотинг удален]<br>&gt;&gt; crypto map internet 1 set transform-set ESP-3des-SHA <br>&gt;&gt; crypto map internet interface outside <br>&gt;&gt; access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 <br>&gt;&gt; tunnel-group x.x.x.x type ipsec-l2l <br>&gt;&gt; tunnel-group x.x.x.x ipsec-attributes <br>&gt;&gt; pre-shared-key secret <br>&gt;&gt; crypto isakmp policy 1 <br>&gt;&gt; .............<br>&gt; Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах <br>&gt; расположить?<br><br>Тем кто откликнулся, большое спасибо!!! Все получилось, ЗАРАБОТАЛО!!!! )<br> https://opennet.dev/openforum/vsluhforumID6/1194.html#17 Fri, 24 Jan 2014 04:55:56 GMT &gt;[оверквотинг удален]<br>&gt; crypto map internet 1 match address internet <br>&gt; crypto map internet 1 set peer x.x.x.x <br>&gt; crypto map internet 1 set transform-set ESP-3des-SHA <br>&gt; crypto map internet interface outside <br>&gt; access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 <br>&gt; tunnel-group x.x.x.x type ipsec-l2l <br>&gt; tunnel-group x.x.x.x ipsec-attributes <br>&gt; pre-shared-key secret <br>&gt; crypto isakmp policy 1 <br>&gt; .............<br><br>Можете схему подключения показать, не совсем понимаю как тогда адреса на интерфейсах расположить?<br> https://opennet.dev/openforum/vsluhforumID6/1194.html#16 Thu, 23 Jan 2014 04:37:54 GMT &gt;[оверквотинг удален]<br>&gt; crypto map internet 1 match address internet <br>&gt; crypto map internet 1 set peer x.x.x.x <br>&gt; crypto map internet 1 set transform-set ESP-3des-SHA <br>&gt; crypto map internet interface outside <br>&gt; access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2 <br>&gt; tunnel-group x.x.x.x type ipsec-l2l <br>&gt; tunnel-group x.x.x.x ipsec-attributes <br>&gt; pre-shared-key secret <br>&gt; crypto isakmp policy 1 <br>&gt; .............<br><br>Вчера не заметил этого ответа. Спасибо за вариант решения! Но в этом случае нужно четыре внешних ip(R1,R2,ASA1,ASA2) для меня это, к сожалению,пока не реализуемо...<br> https://opennet.dev/openforum/vsluhforumID6/1194.html#15 Wed, 22 Jan 2014 10:52:55 GMT <br>&gt;&gt; debug можно посмотреть <br>&gt; Drop-reason: (ipsec-spoof) IPSEC Spoof detected <br><br>Это вообще возможно, через ipsec site-to-site выходить в интернет?<br> https://opennet.dev/openforum/vsluhforumID6/1194.html#14 Wed, 22 Jan 2014 10:50:23 GMT &gt;&gt;&gt; На ASA2 route я такое прописывал.<br>&gt;&gt;&gt; Может быть в nat'e дело.<br>&gt;&gt;&gt; На роутере зачем маршруты? На ASA2 настроен NAT: <br>&gt;&gt;&gt; nat (inside) 1 192.168.100.0 255.255.255.0 <br>&gt;&gt;&gt; global (outside) 1 interface <br>&gt;&gt;&gt; соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как <br>&gt;&gt;&gt; один адрес (10.10.10.1) <br>&gt;&gt; А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно <br>&gt;&gt; в тунель закидывать...или я не прав?<br>&gt; debug можно посмотреть <br><br>Drop-reason: (ipsec-spoof) IPSEC Spoof detected <br> https://opennet.dev/openforum/vsluhforumID6/1194.html#13 Wed, 22 Jan 2014 10:35:29 GMT похоже аса может только lan-to-lan ipsec. Тогда надо добавить роутер перед первой аса, поднять обычный туннель между двумя роутерами, а уже на асах зашифровать трафик по этим туннелям. При этом на асе в списке шифрования прописать адреса ip туннелей роутеров:<br><br>crypto ipsec transform-set ESP-3des-SHA esp-3des esp-sha-hmac <br><br>crypto map internet 1 match address internet<br>crypto map internet 1 set peer x.x.x.x<br>crypto map internet 1 set transform-set ESP-3des-SHA<br>crypto map internet interface outside<br><br>access-list internet extended permit ip ip_source_tunnel_router1 ip_destination_tunnel_router2<br><br>tunnel-group x.x.x.x type ipsec-l2l<br>tunnel-group x.x.x.x ipsec-attributes<br>pre-shared-key secret<br><br><br>crypto isakmp policy 1<br>.............<br><br><br><br> https://opennet.dev/openforum/vsluhforumID6/1194.html#12 Wed, 22 Jan 2014 06:56:02 GMT &gt;&gt; На ASA2 route я такое прописывал.<br>&gt;&gt; Может быть в nat'e дело.<br>&gt;&gt; На роутере зачем маршруты? На ASA2 настроен NAT: <br>&gt;&gt; nat (inside) 1 192.168.100.0 255.255.255.0 <br>&gt;&gt; global (outside) 1 interface <br>&gt;&gt; соответственно router по идеи должен весь трафик выходящий из ASA2 воспринимает как <br>&gt;&gt; один адрес (10.10.10.1) <br>&gt; А ASA2 уже обратный трафик должна PAT'ом раскидывать по адресам и обратно <br>&gt; в тунель закидывать...или я не прав?<br><br>debug можно посмотреть<br>