URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 20132
[ Назад ]

Исходное сообщение
"Терминация VPN на CISCO ASA, в случае несколько ISP"
Отправлено cisco_ibm , 30-Ноя-09 00:55

Приветствую!
Подскажите в каком направлении рыть, чтобы решить следующий вопрос.
Есть несколько рутеров, за ними за NAT’ом стоит CISCO ASA.
На одном из рутеров настроена статическая трансляция портов UDP500 4500 и протокол ESP на CISCO ASA. Есть большая необходимость сделать возможным одновременное подключение по VPN через других провайдеров.
Маршрутизатор не дает возможность сделать несколько NAT записей используя один локальный IP.
Была идея на другом рутере настроить трансляцию, вроде все просто, но при отправке пакеты уходят в наружу через другой интерфейс (default route), через который изначально работает VPN.
Думаю что надо как-то задействовать PBR, тем более что у меня этих политик сейчас уже пруд пруди, но не могу понять откуда начать.

Содержание

Терминация VPN на CISCO ASA, в случае несколько ISP,Николай, 14:31 , 30-Ноя-09
- Терминация VPN на CISCO ASA, в случае несколько ISP,cisco_ibm, 23:09 , 30-Ноя-09

Сообщения в этом обсуждении

"Терминация VPN на CISCO ASA, в случае несколько ISP"
Отправлено Николай , 30-Ноя-09 14:31

>[оверквотинг удален]
>по VPN через других провайдеров.
> Маршрутизатор не дает возможность сделать несколько NAT записей используя один локальный
>IP.
>Была идея на другом рутере настроить трансляцию, вроде все просто, но при
>отправке пакеты уходят в наружу через другой интерфейс (default route),
>через который изначально работает VPN.
>Думаю что надо как-то задействовать PBR, тем более что у меня
>этих политик сейчас уже пруд пруди, но не могу понять откуда
>начать.
>
Самый простой вариант добавить на АСУ еще один IP на котором организуеться ВПН и тогда можно его выставить наружу, а роутмапой отрулить на нужный рутер. Второй вариант пометить трафик - но проблему у себя до конца не решил - на АСУ идет меченый обратно уже нет, дальше просто обломало копать. Тема интересная если кто чего посоветует тоже почитаю.

"Терминация VPN на CISCO ASA, в случае несколько ISP"
Отправлено cisco_ibm , 30-Ноя-09 23:09

>[оверквотинг удален]
>>этих политик сейчас уже пруд пруди, но не могу понять откуда
>>начать.
>>
>
>Самый простой вариант добавить на АСУ еще один IP на котором организуеться
>ВПН и тогда можно его выставить наружу, а роутмапой отрулить на
>нужный рутер. Второй вариант пометить трафик - но проблему у себя
>до конца не решил - на АСУ идет меченый обратно уже
>нет, дальше просто обломало копать. Тема интересная если кто чего посоветует
>тоже почитаю.
У меня в начале стоят рутеры за ними ASA. На всех рутерах свои не пересекающиеся сети. Вариант высветит один адрес не прохляет.
Единственный вариант который приходит в голову, это использовать промежуточное устройство которое будет способно делать трансляцию для VPN между внешними рутерами и ASA.