VPN site à site Cisco IPSec. Autoriser le trafic si le VPN est en panne

Planification de la configuration «ceinture et bretelles».

Contexte:

Nous avons un lien VPN de site à site réussi vers notre centre de données distant.

Le réseau «protégé» distant est également la gamme de réseaux IP qui est ouverte via le pare-feu en tant que points d'extrémité faisant face à Internet.

Ainsi : Nous utilisons le VPN pour pouvoir accéder à des points de terminaison non publics.

Énoncé du problème :

Si la liaison VPN est en panne, l'ASA baisse le trafic, même si les points de terminaison Internet doivent toujours être disponibles via le pare-feu distant.

Question :

Comment puis-je configurer le VPN pour «passer» le trafic en tant que trafic sortant normal, lorsque le VPN est en panne.

Voici les segments pertinents de la configuration.

crypto map vpn-crypto-map 20 match address remdc-vpn-acl
crypto map vpn-crypto-map 20 set peer a.b.c.d 
crypto map vpn-crypto-map 20 set transform-set remdc-ipsec-proposal-set
crypto map vpn-crypto-map interface outside

L'ACL de correspondance du trafic est très primitive: elle spécifie les deux réseaux, privé et distant, exprimés en objets réseau.

access-list remdc-vpn-acl extended permit ip object <private> object <remote> log 

Et un diagramme primitif.

                                     INTERNET
                                                x
                                                x
REM DC 203.000.113.000/24                      xx                       HQ 192.168.001.000/24
                                               x
           +---------------+                  x               +-----------+
           | REMOTE DC     |                 xx               |           |
           | ASA           e               xxx                | ASA 5505  |
+----------+               |              xx                  |           +-----------------+
   ^       |               e<-------------------------------------+       |
   |       |               |              xxxx                |           |
   |       |               e                 xxxx             |     ~     |
   |       |               |                    xx            |     |     |
   |       |               |                     xx           +----vpn----+
   |       |               |                      x                 |
   \-------vpn-------------vpn--------------------------------------/
           |               |                   xxx
           +---------------+                  xx
                                           xxx
                                          xx
                                       xxxx
    e = public Internet                x
        server endpoint

Merci

Rob

Mise à jour 01

Un ACL plus précis a été discuté dans les commentaires ci-dessous (avec remerciements)

Je peux envisager deux ACLS. (A) qui autorise TOUS les accès au réseau distant, puis refuse les points de terminaison déjà disponibles sur Internet. et (B) qui ouvre uniquement la gestion / l'instrumentation selon les besoins.

Le problème avec (B) est qu'il est impossible d'exprimer des points de terminaison tels que WMI et Windows RPC sans modifier la configuration standard du serveur)

Donc, peut-être que (A) est la meilleure approche qui devient un inverse de la configuration du pare-feu distant .

Mise à jour 02

Mike a demandé à voir plus de la configuration ios de l'ASA.

Ce qui suit est pour le QG ASA qui se trouve sur le site du QG. Le DC distant est sous le contrôle du fournisseur du centre de données, et je ne peux donc pas commenter exactement comment cela peut être configuré.

Eh bien, il n'y a pas grand-chose à montrer: il existe une route par défaut vers la passerelle Internet et aucune autre route spécifique.

route outside 0.0.0.0 0.0.0.0 HQInetGateway 1

Les interfaces sont très basiques. Seule la configuration IPv4 de base et les VLAN pour diviser le groupe en 1 interface extérieure et 1 interface intérieure.

interface Vlan1
 nameif inside
 security-level 100
 ip address 10.30.2.5 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 194.28.139.162 255.255.255.0
!

À la vôtre, Rob

Je suis maintenant d'avis que ce n'est pas pratique; au moins dans notre scénario particulier.

Le schéma est encore compliqué par le fait que le trafic "vers le tunnel" est sélectionné par ACL entre HQ et RemoteDC, (et ainsi nous pouvons le rendre aussi compliqué que nous voulons), mais sur le "chemin" inverse (pour ainsi dire), le Le concentrateur VPN à l'extrémité distante sélectionne l'ensemble du réseau HQ comme réseau protégé.

Le résultat est que ceux-ci ne s'équilibrent pas et il semble que les xlates avant et arrière ne correspondent pas. Semblable à des itinéraires avant et arrière qui provoquent l'échec du trafic car le NAT est en jeu à un moment donné.

Essentiellement - cela est éliminé comme «risque technique trop élevé» et nécessite beaucoup plus d'évaluation et peut-être plus de contrôle sur l'extrémité distante avant qu'elle ne devienne une solution.

Merci à tous ceux qui ont regardé ça.

Si vous avez ou pouvez installer un routeur à l'intérieur de chaque ASA, vous pouvez créer un tunnel GRE chiffré et utiliser le routage ou une statique flottante pour échouer sur Internet.