Mreza izmedju dva VPN-a nedostupna

Linux pomoć Mreža
1

Naslov nije bas najsretniji, nikako da skontam kako da definisem problem u jednoj kracoj recenici.
Mozda zato sto je problem malo kompleksniji :), uglavnom, ide dole objasnjenje problema, a za naslov cemo lako.

Dakle, u firmi imamo Cisco 881 router iza kojeg se nalazi lokalni LAN sa mrezom 192.168.10.0/24.

Na tom routeru je konfigurisan VPN server kako bi uposlenici mogli i od kuce raditi. To sam oznacio kao “Company VPN”.
Prilikom uspostavljanja VPN-a, uposlenik dobije adresu u mrezi 192.168.9.0/24 i routu da se saobracaj za mrezu 10 forwarduje na defaultni gateway.

Takodjer, imamo i Data Centre u kojem se nalazi Cisco ASA 5510 i iza nje lokalni LAN sa mrezom 192.168.4.0/24.
ASA je takodjer konfigurisana kao VPN Server, ali samo za Site-to-Site VPN. Ona ceka konekciju od routera iz firme (Cisco 881).

Cisco 881 je, pored toga sto je VPN server sa uposlenike, takodjer konfigurisan kao VPN Client koji inicira Site-to-Site VPN sa Ciso ASA u Data Centru.

Ovo sve skupa vjerovatno zvuci poprilicno zbunjujuce zato evo i slikica da bude malo jasnije:

4SEcB.png952×635 22.4 KB

Ukratko, postoje dva VPN-a, Site-to-Site izmedju dva routera i otvoreni VPN konfigurisan na routeru u firmi. ASA je samo VPN server i ceka konekciju od 881 routera koji je uporedo i klijent (za Site-to-Site) i server (za uposlenike).

Eh sada, problem :slight_smile:

Site-to-Site VPN funkcionise bez problema. Konstantno je up, kada sam u firmi na mrezi 10, mreza 4 mi je dostupna, dakle mogu se ssh na servere, mogu pingati itd.
Company VPN je takodjer dostupan iz vana, dakle konektujem se nekim klijentom, dobijem adresu u mrezi 9 i sve u mrezi 10 mi je dostupno.

Medjutim, kada sam VPN konektovan na firmu, dakle kada sam u mrezi 9, mreza 4 mi je totalno nedostupna.

Pretpostavljam da je problem u nekoj statickoj routi na 881 routeru, ali nikako da skontam gdje, sta i kako. (mozda sam malo i umoran :D)

Eto, ako neko ima ideju o cemu pricam, nek se javi pa cemo na private da posaljem linkove sa konfiguracijom routera.

2

meni se cini da ti je problem sto kompjuteri u remote lan-u (9.0) ne znaju da trebaju usmjeriti pakete za 4.0 kroz 881 router.
Bilo bi korisno da pokrenes traceroute iz 9.0 do neke adrese u 4.0 …pa da postavis ovdje.

3

jos jedan moguci problem - ako je rijec o IPSEC-u je da ce ti trebati takodje i GRE tunel da bi mogao to rutiranje da izvrsis
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009438e.shtml
ali ovo je samo nagadjanje - traceroute ce dati vise informacija …

4

[quote=testni_hamo2]jos jedan moguci problem - ako je rijec o IPSEC-u je da ce ti trebati takodje i GRE tunel da bi mogao to rutiranje da izvrsis
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008009438e.shtml
ali ovo je samo nagadjanje - traceroute ce dati vise informacija …[/quote]

GRE nije definitivno jer je ranije radilo bez tog protokola.

A kako mi je trebao pristup na jedan treci VPN koji PPTP baziran, otvorio sam i GRE port, tako da je to iskljuceno.

Evo kako izgleda traceroute do node-a u mrezi 10:


Tracing route to 192.168.10.200 over a maximum of 30 hops

  1    83 ms    65 ms    63 ms  blablabla.bla0.t-ipconnect.de [2.2.2.2]
  2    75 ms    66 ms    64 ms  192.168.10.200

Trace complete.

A evo i do node-a u mrezi 4:


Tracing route to 192.168.4.20 over a maximum of 30 hops

  1     1 ms    <1 ms    <1 ms  alice.box [192.168.1.1]
  2    22 ms    22 ms    23 ms  bla.bla.muc.de.hansenet.net [3.3.3.3]
  3  bla-bla.bla.muc.de.hansenet.net [3.3.2.2]  reports: Destination net
 unreachable.

Trace complete.

Dakle, 2.2.2.2 je public IP u firmi a 3.3.3.3 je moja trenutna public IP kuci.

5

de pobrisi ove ip adrese dialin informacije i to odmah ili ih zamjeni za neke levatske kao 345.456.34.39 i sl, objasnicu ti ja gdje je problem veceras

6

Cini mi se da je problem u access listama. Mrezi 9 nije dozvoljen pristup mrezi 4, iz vana. Dodao sam neke access liste pa cu vidjeti da li je to to.

7

imas access liste na asa5510 koje su vezane za vpn tunnel i posebne koje su vezane za fizicke interface-e.
na 881 routeru moras podesit da “pusha” dodatne route prema clientu za .4.0/24 mrezu + dodat da sve sto dolazi sa .9.0/24 mreze prema .4.0/24 je validni traffic (tj. trusted, takodje i na asa5510)
asa5510 mora isto znati gdje da salje traffic za .9.0/24

koristi packet tracer na asa5510 on ti moze puno pomoc u debuggiranju , takodje live logove koje mozes i na routeru gledat.
ovako na pamet sta je tacno problem bez da znam(o) konfiguracije oba uredjaja tesko da ce ti iko moci konkretno pomoc.

druga bitna stvar je dali ti je router podesen za “dial-up vpn” klijente u split-tunnel modu (samo traffic za odredjene mreze ide preko vpn interface-a ostalo na defaultni iface na clientu) ili sav traffic sa client-a ide preko vpn tunnela?

8

napravio sam jednostavniju stvar, omogucio klijent pristup na ASA-u.

Nije idealno, ali radi :smiley:

9

Pozdrav,

ASA mora biti svjesna adresnog plana kojeg dodjeljujes Cisco VPN korisnicima, tako da ga moras ubaciti u access-list za cryptomap na ASA i Cisco strani. Mada sumnjam da ce ti ovo raditi. Koliko se sjecam da je to bila jedna od limitacija interoperabilnosti Cisco ASA i Cisco Routera (makar u to vrijeme kad sam Koristio IOS 12.4 i ASA firmware 8.x. Mozda je to rijeseno u Cisco IOS 15. Budem pogledao sutra pa ti javim. Uglavnom na CheckPoint strani samo trebas podici VPN routing izmedju VPN Client i VPN L2TP mreza i to radi. (jedan od razloga sto sam presao na CP i juniper firewalls/routers).

Ako ti je to problem mozda pokusaj da napravis NAT relaciju za Cisco VPN mrezu na ruteru prema VPN mrezi na ASA uredjaju ali ne smije ti biti upaljen split-tunneling na cisco routeru (sav saobracaj mora prolaziti kroz Cisco router, aka route all traffic through gateway).