Mám existující site-to-site VPN nastavenou mezi 80f a ASA5516X. Selektory fáze 2 jsou po jednom subnets na každém konci.
Nedávno jsem potřeboval přidat další subnet na konci VPN na Fortigate. Namísto přidání dalšího selektoru fáze 2 jsem vytvořil nové skupiny adres pro každý konec VPN a přidal potřebné adresy do každé skupiny.
Jakmile jsem to udělal, komunikovalo přes VPN pouze jedno subnet najednou. A divné je, že subnet, který komunikoval, se měnil v závislosti na tom, který subnet ASA se pokusil přistoupit. Ale oba subnets se nemohly současně připojit přes VPN.
Smazal jsem selektor fáze 2 s skupinami adres a vytvořil jsem dvě unikátní selektory pro každý subnet, a vše funguje podle očekávání.
Máte nějaký nápad, co jsem mohl udělat špatně? Možná chyba? Verze firmware 7.2.6 na 80f.
ASA potřebuje 2 samostatné fáze 2 podle mého vědomí. Nejprve bych to zkontroloval tam.
Bez přímé zkušenosti s ASA, některá firewally musí mít nezávislé fáze 2.
Například u FortiGate a EdgeRouter je třeba oddělená fáze 2.
Nezapomeňte také aktualizovat pravidla FW.
Ikev1 nebo ikev2? U IKEv1 funguje řešení, pokud povolíte “set mesh-selector subnets” pod phase1-interface, což mu umožní fungovat s Cisco zařízením a stále používat skupiny pod selektory fáze 2.
Pro IKEv2 jsem žádné podobné řešení zatím nenašel a musím přidat konkrétní selektory p2 pro každou kombinaci.
Skupiny bohužel nefungují. Cisco Neustále nerozumí ani nepodporuje skupiny adres v případě P2 selektorů.
— Mám zkušenosti se zakládáním tunelů s Cisco ASA i běžnými IOS routery; a takto to obě fungují. Je potřeba definovat pro každý řádek.
Pokud nad tím přemýšlíte, dávalo by to smysl, protože způsoby definice P2 selektorů na Cisco jsou přes ACL.
Definují se pro každý řádek.
Také malý poznatek. Existovala verze Cisco IOS, ve které PSK s speciálními znaky nepodporovalo. Ano, slyšeli jste správně. Byla to opravdová bolest.
Kvůli způsobu, jakým jste to nastavili, ASA při každém přístupu k jiné síti provádí renegociaci fáze II. Prostě přestavte tunel a přidejte do něj obě sítě při jeho vytvoření. To umožní vyjednat jednu fázi II a mít obě sítě k dispozici neustále.
Děkuji za reakci. Přijde mi, že to tak je. Rád to slyším od někoho jiného. Začínal jsem šílet, snažíce se přijít na to, co jsem udělal špatně.
To. Zvláště u ASA.
Na druhé straně jsou také FW, kteří �trvají� na tom, aby měla všechna P2 selektory ve jednom P2 (mám na mysli Meraki).
Tunel k Meraki byl jediný případ, kdy jsem musel použít skupiny adres v P2, u jakéhokoliv jiného VPN (ikev1 i ikev2) za posledních 10 let a přes 100 VPN jsem používal samostatné P2 selektory a fungovaly dobře.
Přesně tak. Měli jsme tohle již několikrát. Buď postavit “mesh” subnets na obou stranách (pro Policy Based) ve vašich nastaveních fáze 2, nebo podle mého názoru, je mnohem jednodušší to převést na routovní VPN na obou stranách.
VPN založená na routách je plně podporována na ASA. Osvědčila se nám při realizaci projektů „důchodů“ našich ASA.
U ASA neexistuje úplná funkční paralela s policy based. Konkrétně některé problémy s NAT přes routováné VPN jsem musel řešit přechodem na policy based.
Ano. Na routovně založených VPN na ASA chybí několik funkcí - například nedostatek možného výběru NAT. “ANY” jako cílové rozhraní u NAT není vždy možné.
Další důvod k odklonu od ASA. Mám méně než 10 z původních více než 100 a brzy jich zbude méně. Je to skoro emocionální. Když ale zvážím FirePower, už to tak nevidím.