Добрый день!Прошу помощи в проброске основного шлюза через удалённый офис по site-2-site tunnel.
Оборудование - ASA 5505, Version 8.4(7)31
Схема сети такова.
Основной офис имеет выход в интернет через двух провайдеров с настройкой резервирование через IP SLA. Плюс имеется оптика до второго офиса.
Сеть 192.168.1.0/24
Второй офис имеет выход в интернет через одного провайдера, а так-же связан по оптике с основным.
Сеть 192.168.2.0/24
Трафик между внутренними сетями идёт через шифрованный site-2-site tunnel по прямой оптике, а как резервные используются линки до провайдеров.
Необходимо чтобы у второго офиса был резервный канал в интернет через основной офис.
Вот часть текущего конфига.
---Основной офис---
object-group network LOCAL_NET
network-object 192.168.1.0 255.255.255.0
object-group network REMOTE_NET
network-object 192.168.2.0 255.255.255.0access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET
nat (inside,outside) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,backup) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,tunnel) source static LOCAL_NET LOCAL_NET destination static REMOTE_NET REMOTE_NET no-proxy-arp route-lookup
nat (inside,outside) after-auto source dynamic any interface
nat (inside,backup) after-auto source dynamic any interface
route outside 0.0.0.0 0.0.0.0 1.2.3.4 1 track 1
route tunnel 192.168.2.0 255.255.255.0 172.16.0.1 1 track 2
route backup 0.0.0.0 0.0.0.0 2.3.4.5 250
crypto ipsec ikev1 transform-set FirstSet esp-3des esp-md5-hmac
crypto ipsec ikev2 ipsec-proposal secure
protocol esp encryption 3des des
protocol esp integrity md5
crypto map abcmap 1 match address l2l_list
crypto map abcmap 1 set peer 172.16.0.1 3.4.5.6
crypto map abcmap 1 set ikev1 transform-set FirstSet
crypto map abcmap 1 set ikev2 ipsec-proposal secure
crypto map abcmap interface outside
crypto map abcmap interface backup
crypto map abcmap interface tunnel
crypto ikev2 policy 1
encryption 3des
integrity md5
group 2
prf md5
lifetime seconds 43200
crypto ikev2 enable outside
crypto ikev2 enable backup
crypto ikev2 enable tunnel
crypto ikev1 enable outside
crypto ikev1 enable backup
crypto ikev1 enable tunnel
crypto ikev1 policy 1
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 43200
tunnel-group 172.16.0.1 type ipsec-l2l
tunnel-group 172.16.0.1 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
tunnel-group 3.4.5.6 type ipsec-l2l
tunnel-group 3.4.5.6 ipsec-attributes
ikev1 pre-shared-key *****
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
Во втором офисе конфиг идентичный, с небольшими отличиями по IP провайдеров и изменены iP локальной и удалённой сетей.
Что я пробовал и что не получилось.
Менял access list l2l_list в основном офисе на
access-list l2l_list extended permit ip any object-group REMOTE_NET
.. и во втором на
access-list l2l_list extended permit ip object-group LOCAL_NET any
Дополнительно в основном офисе добавил nat
nat (tunnel,outside) after-auto source dynamic any interface
nat (tunnel,backup) after-auto source dynamic any interface
Маршрут по-умолчанию во втором офисе не добавлял т.к. сеть после сделанных изменений стала вести себя следующим образом.
Оборвалась связь через туннель между офисами. Затем пинг пошёл в обе стороны, но зайти в консоль на любые железки в удалённом офисе не было возможности - после ввода логина консоль отваливалась.
Пришлось вернуть все настройки в прежнее состояние на той циске до которой был доступ и работа сети восстановилась.
Прошу помочь найти ошибку в настройке, что я допустил.
Спасибо!
