BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Configurar VPN site-to-site con cisco asa

santi-ti

Hola!!!!!

Necesito ayuda con un tema que es la primera vez que lo voy a montar, es una von entre dos sucursales. Ambas sucursales salen a internet por un router adsl y están conectadas tambien por un firewall cisco a la red local, que es con el firewall cisco donde quiero montar la vpn.
Os comento como está en los dos sitios, sitio1:
-salida a internet con router adsl comtrend su IP es 172.22.x.x para red interna y pública 80.25.x.x, este router lo tengo conectado a un firewall de cisco asa 5505, con su ip 172.22.115.1 y es aquí donde quiero montar la vpn, porque me da la opción de crearla con vpn site-to-site,, el problema viene cuando quiero configurar el tunneling, no se como hacerlo.....
Sitio2:
-Salida a internet con router adsl comtrend, su IP es 192.168.x.x, para outside. Tiene IP pública 80.26.x.x. Está conectada con un firewall cisco asa 5505 con inside(red local)172.22.31.1y outside (hacia el router adsl) 192.168.x.x, me da la opción de configurar la vpn site-to-site con firewall cisco y me pierdo cuando tengo que configurar el tunneling....

Por favor podeis ayudarme en esto.....gracias!!!

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
santi-ti

Perdona por tardar tanto en responder....Muchas gracias me funciona perfectamente.....

Por cierto sabes porque no puedo hacer ping desde mi inside a outside y viceversa??? te adjunto mi show conf....

: Saved
:
ASA Version 7.2(2)
!
hostname ciscoasa
domain-name odsiberia.com
enable password m7me0z.N6aAtMQCr encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 172.22.28.7 255.255.252.0
!
interface Vlan2
nameif outside
security-level 100
ip address 192.168.251.3 255.255.255.248
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name odsiberia.com
same-security-traffic permit inter-interface
access-list inside_access_out extended permit ip 172.22.28.0 255.255.252.0 192.168.251.0 255.255.255.0
access-list outside_access_in extended permit ip 192.168.251.0 255.255.255.0 172.22.28.0 255.255.252.0
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
monitor-interface inside
monitor-interface outside
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group inside_access_out in interface inside
access-group inside_access_out out interface inside
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
username admin password eY/fQXw7Ure8Qrz7 encrypted privilege 15
username cisco password 3USUcOPFUiMCO4Jk encrypted
aaa authentication serial console LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.251.0 255.255.255.0 outside
http 172.22.28.0 255.255.252.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 172.22.28.20 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!

!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f53190b5e368a04d6e9d1212c90af15e
: end
asdm image disk0:/asdm-522.bin
no asdm history enable

🗨️ 7
mezcua

Te falta este comando:

icmp permit any inside
icmp permit any outside

El "Any" lo puedes cambiar pro las Ip´s que quieres poder contestar al ping, el que no te conteste al ping es un metodo de proteccion ante ataques de fragmentacion incluso de Denegacion de servicio por falta de Cpu, prueba y nos comentas.

un saludo.

🗨️ 6
BocaDePez
BocaDePez
🗨️ 5
santi-ti
🗨️ 4
mezcua
🗨️ 3
santi-ti
🗨️ 2
santi-ti
🗨️ 1
santi-ti
BocaDePez
BocaDePez

Hola a todos.

Necesito configurar una vpn site to site. Mi extremo es un Cisco 877. Me he bajado el Cisco SDM para intentar cofigurarlo. Los datos son ésto. A ver si podéis echarme una mano:
Aquí tenéis nuestra información.

VPN tunnel IP:217.x.x.x

ISAKMP policy:

Encryption:3des

Authentication:pre-share

Diffie-Hellman group:2

Hash:sha

Lifetime (seconds):86400

IPSec:

IPSec ESP Encryption Transform:esp-3des IPSec ESP Authentication

Transform:esp-sha-hmac Security association lifetime (seconds):3600

Security association lifetime (kilobytes):4608000

Muchas gracias de antemano.

Un saludo.

🗨️ 2
BocaDePez
BocaDePez

#vpngroup <nombregrupo> idle-timeout hh:mm:ss ó #vpngroup <nombre-grupo> user-idle-timeout si lo haces por usuario

🗨️ 1
BocaDePez
BocaDePez

que dices ????? joder, que no entiendo nada..... habla en españoool coño, que te cuesta hablar en cristiano !!!!!

BocaDePez
BocaDePez

Hola, tengo un problema que quizás no venga a cuento pero podáis echarme una mano.

Tengo configurada una vpn site to site con dos routers cisco, está hecha a través del SDM pero tengo dos problemas.

1) El tunnel se cierra cuando pasa un tiempo de inactividad y ciertas conexiones telnet con el servidor se cierran. Como puedo dejar el tunnerl siempre abierto?

2)No logro hacer un Backup de RDSI para el tunnel de adsl.

gracias por vuestra ayuda.

🗨️ 1
imakoki

Es una tonteria pero, ¿porque no dejas un ping continuo? Mientras haya tráfico, salvo que haya algún problema con la línea, el túnel no debería "caer", se renegocia pero no cae.

¿El problema imagino que es que la RDSI tienen diferente direccionamiento, no? Un truco, aunque es mas engorroso de hacer, es hacer la vpn con las direcciones privadas y hacer pasar el tráfico a través de interfaces tunnel, por defecto encapsulado en gre. Con eso te debería funcioner.

Es decir, los peer pon las direcciones privadas, y creas dos interface loopback, tambien con direcciones privadas. Le pones rutas para que tire los rangos privados a la ip del loopback y las rutas 2 rutas por defecto, una con mas peso que la otra (la de mas peso la del backup). Los crypto map los aplicas sobre la interface loopback.

Asi de repente se me ocurre que lo puedes hacer de esa forma. Por cierto, en los interfaces tunnel únicament configurando el tunnel source, tunnel destination, y el keepalive (por ejemplo keepalive 5 2) para que haga caer el tunel que va por la conexion principal cuando caiga la línea principal, de forma que caera la ruta asociada a este tunel y por tanto ... saldra por el segundo.

Bueno, a ver si hay mas ideas ;)

Un saludo,
Imakoki

BocaDePez
BocaDePez

Hola quisas muy trade mi respuesta, pero las VPN publicas no funcionan con Ip que no sean publicas, No podes hacer una VPN site to site, via Internet, si el firewall no tiene la IP publica en la interface outside.

Saludos.

🗨️ 1
BocaDePez
BocaDePez

¿Quieres decir que en los extremos del tunel debo tener IP públicas? ¿necesito entonces 3 IP's públicas al tener un ruter adsl delante del ASA?

BocaDePez
BocaDePez

Pero cojones!!! Para que se meten a configurar estos aparatos? Esto son cosas de "personas mayores".

Estudien en lugar de tanto preguntar......