Otázka ohledně jednoduchého VPN tunelování na Cisco ASA

Snažím se vytvořit VPN tunel, který umožní překročení více podsítí. Mám 4 podsítě (diagram na mém profilu - Diagram) a nemám žádný problém s tím, že R1 pingne R3 přes tunel, ale nevím, jaké příkazy přidat do konfigurace FW1 a FW3, aby umožnily pingovat podsítě 10.1.2.0 a 10.1.4.0. R2 může pingnout R1 a R4 může pingnout R3. Co bych měl přidat do své konfigurace, abych mohl pingnout R4 z R2?

Moje současná konfigurace na FW1 je (zrcadlená na FW3):

crypto ikev2 policy 1

encryption aes

integrity sha

group 5

ee

lifetime seconds 86400

exit

crypto ipsec ikev2 ipsec-proposal tunnel

ee

protocol esp encryption aes-256

protocol esp integrity sha-1

exit

ee

tunnel-group 100.1.1.100 type ipsec-l2l

tunnel-group 100.1.1.100 ipsec-attributes

ee

ikev2 local-authentication pre-shared-key cisco

ee

ikev2 remote-authentication pre-shared-key cisco

exit

ee

access-list vpnTunnel extended permit ip 10.1.1.0 255.255.255.0 10.1.3.0 255.255.255.0

ee

ee

crypto map ASA1-MAP 1 match address vpnTunnel

crypto map ASA1-MAP 1 set peer 100.1.1.100

crypto map ASA1-MAP 1 set ikev2 ipsec-proposal tunnel

crypto map ASA1-MAP interface outside

crypto ikev2 enable outside

route outside 10.1.3.0 255.255.255.0 100.1.1.100

route outside 10.1.4.0 255.255.255.0 100.1.1.100

Jen přidáte podsítě do ACL vpnTunnel. Každá podsíť na jednom konci tunelu k podsítím na druhém konci tunelu. Pokud máte tři podsítě na každé straně, potřebujete 9 záznamů ACL.

Nebo vytvořte objektové skupiny pro místní a vzdálené sítě a použijte je v ACL.

access-list vpnTunnel extended permit ip 10.1.1.0 255.255.255.0 10.1.3.0 255.255.255.0

Tento ACL řídí, co je posíláno přes tunel. Teď máte pouze 10.1.1.0/24 a 10.1.3.0/24. Toto je ACL, který musíte upravit (a jeho zrcadlenou konfiguraci na druhé straně VPN), aby umožnil komunikaci s 10.1.2.0/24 a 10.1.4.0/24.

Také nezapomeňte, že musíte také povolit, aby 10.1.1.0/24 mohlo komunikovat s 10.1.4.0/24 a s ostatními kombinacemi.