сейчас у нас есть центральная asa.
к ней по ipsec подключено нескольколько пиксов? назовем их pix1,pix2,pix3....и тд.
получается такая сеть типа звезда.
у но вот не задача! пользователи за pix1 видят тока свою подсеть и подсеть за асой,
а необходимо что бы все знали о всех. то есть пакеты из подсети спрятанной за pix1 могли ходить в подсеть спрятанную за pix2.
по всей видимости нужна динамическая маршрутизация - ospf.

посоветуйте решение....

• Маршрутицация,sh_, 17:25 , 12-Дек-08
  • Маршрутицация,djek, 09:35 , 15-Дек-08
    • Маршрутицация,Ярослав Росомахо, 10:57 , 15-Дек-08
      • Маршрутицация,djek, 12:00 , 15-Дек-08
        • Маршрутицация,djek, 12:14 , 15-Дек-08
          • Маршрутицация,Ярослав Росомахо, 13:04 , 15-Дек-08
        • Маршрутицация,Ярослав Росомахо, 12:29 , 15-Дек-08
          • Маршрутицация,djek, 13:28 , 15-Дек-08
            • Маршрутицация,Ярослав Росомахо, 13:29 , 15-Дек-08
              • Маршрутицация,djek, 13:36 , 15-Дек-08
                • Маршрутицация,weris, 13:39 , 15-Дек-08
                  • Маршрутицация,djek, 13:41 , 15-Дек-08
                    • Маршрутицация,weris, 13:48 , 15-Дек-08
                      • Маршрутицация,djek, 14:02 , 15-Дек-08

Можно и со статической маршрутизацией. У вас туннели с одного интерфейса строятся?

>Можно и со статической маршрутизацией. У вас туннели с одного интерфейса строятся?
>

c двух....
конфиг будет большой.. а динамическую ни как прикрутить?
у меня есть мысль, кривоватенькая конечно...
за асой поставить роутер 1811 и на нем может поднять ospf. ну а тунели а нат оставить на асе. вот тока не знаю будет ли работать.. не хочется изобретать велосипед, не ужели ни кто стакой проблемой не сталквался!?

>конфиг будет большой.. а динамическую ни как прикрутить?

ASA/PIX поддерживают такую штуку как point-to-point non-broadcast OSPF, который может ходить через IPSec туннели. Т.е. настраиваете OSPF как обычно, но на интерфейсе говорите "ospf network point-to-point non-broadcast". Не забудьте OSPF разрешить в IPSec ACL, добавить сеть внешнего интерфейса в анонсы, и явным образом прописать neighborа. Хороший пример работающего конфига есть тут (в конце статьи) - http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/produc...

>за асой поставить роутер 1811 и на нем может поднять ospf. ну
>а тунели а нат оставить на асе.

Так работать не будет - IPSec построенный на основе PIX/ASA не пропускает multicast - соответственно протоколы маршрутизации через эти туннели не ходят. Для решения этой проблемы и было придумано "point-to-point non-broadcast ospf".

P.S. Вообще для site-to-site VPN решение PIX/ASA не очень хорошее - на будущее такие вещи лучше строить на маршрутизаторах с криптомодулями.

за ссылку спасибо! щас буду изучать..

а зачем тогда вообще нужны пиксы?
с этим вопросом я сталкиваюсь все чаще и чаще. в чем их особенность? ведь действительно что роутере лучьше работают с тунелями, есть правила фильтраци не хуже чем у пикса (по маку) и тд. Защита от атак? что то уже хочется подробностей....

посмотрел статью....
получается что если у нас есть пиксы 501 с прошивкой 6.3 (если не ошибусь на память) то вся информация по ссылке неподходит.. :(

>посмотрел статью....
>получается что если у нас есть пиксы 501 с прошивкой 6.3 (если
>не ошибусь на память) то вся информация по ссылке неподходит.. :(
>

PIX 501 вообще не поддерживает OSPF ни с какими прошивками. С ними у вас два варианта - или меняйте их на что-нибудь более современное или настраивайте статическую маршрутизацию.

Если в центре вы хотите оставить ASA, то меняйте PIX501 на ASA5505, если хотите перейти на решение с маршрутизаторами - тогда меняйте всю инфраструктуру на маршрутизаторы. Маршрутизаторы не поддерживают point-to-point non-broadcast ospf, соответственно в IPSec VPN построенной частично на PIX/ASA, частично на IOS, динамическая маршрутизация невозможна.

>за ссылку спасибо! щас буду изучать..
>
>а зачем тогда вообще нужны пиксы?
>с этим вопросом я сталкиваюсь все чаще и чаще. в чем их
>особенность? ведь действительно что роутере лучьше работают с тунелями, есть правила
>фильтраци не хуже чем у пикса (по маку) и тд. Защита
>от атак? что то уже хочется подробностей....

Преимущество PIX/ASA перед Cisco IOS в производительности межсетевого экранирования и NATа. Так же у них хорошо развит функционал по организации remote-access VPN (доступ для удаленных пользователей), но в последних T-версиях маршрутизаторы Cisco IOS догнали в этом Cisco ASA.

Еще у ASA есть Unified Phone Proxy, которого на маршрутизаторах нет и пока что не планируется.

у меня были проблемы связанные с прописывание статической маршрутизации на пиксам. не могли бы привести пример как это надо сделать?

>у меня были проблемы связанные с прописывание статической маршрутизации на пиксам. не
>могли бы привести пример как это надо сделать?

С такими вопросами могу посоветовать только одно - внимательнее читать документацию.

с этим согласен! :) но всеже
route outside 192.168.2.0 255.255.255.0 x.x.x.x 1
вопрос какой адресс указать? внешний адрес асы, если мы с филиала?

>с этим согласен! :) но всеже
>route outside 192.168.2.0 255.255.255.0 x.x.x.x 1
>вопрос какой адресс указать? внешний адрес асы, если мы с филиала?

адрес шлюз- ваш провайдер.

шлюз провайдера даже недогадывается о существовании сети 192.168.2.0/24 за асой !!!!

>шлюз провайдера даже недогадывается о существовании сети 192.168.2.0/24 за асой !!!!

про адресацию выданную провайдером речи не было :)
то что вы с филиала ни о чем не говорит. пров мог и серый адрес вам дать вполне ...

суть вопроса втом что есть две посети 192.168.2.0/24 за асой в центре "звезды"
и филиал 192.168.1.0/24. между ними ipsec. также есть филиалы с 192.168.3.0/24
ospf для тунелей не подымается.... нужно писать статикой. вопрос как?