↑ Retornar para Problemas do mundo real

2 VPNs usando o ASA

Home Fórum Problemas do mundo real 2 VPNs usando o ASA

Este tópico contém respostas, possui 3 vozes e foi atualizado pela última vez por  esdras.uj 4 meses atrás.

Visualizando 3 posts - 1 até 3 (de 3 do total)
  • Autor
    Posts
  • #189441

    Daniel.Matozinhos
    Participante

    Prezados, bom dia!

    Estou com um problema, e tenho certeza que vocês podem me ajudar, ou me dar um “norte” de como proceder. Vamos aos fatos.

    1 – Hoje eu tenho uma VPN entre um Cisco ASA 5509 (versão IOS 9.1) e um Huawei USG6350 que está funcionando perfeitamente, permitindo a comunicação entre as filiais;

    2 – No entanto surgiu uma necessidade adicional: Precisamos transferir diariamente uma quantidade grande de arquivos entre estes sites (2 servidores), e utilizando a VPN mencionada acima, eu terei impacto no tráfego de voz,CTI, etc;

    3 – A solução adotada foi contratar um segundo link de internet entre as 2 filiais, e fechar a VPN com estes links. Esta segunda VPN foi configurada e fecha normal o túnel, no entanto preciso que somente o trafego de 2 hosts usem esta VPN. Para os demais, o caminho segirá a VPN primaria. Segue imagem anexo:

    https://uploaddeimagens.com.br/imagens/sem_titulo-png-dd09fb1e-ce76-4190-b0bb-7e322e2429aa

    4 – No Huawei, eu vejo na tabela de roteamento, que a rota para o host da outra filial aparece na Tabela de Roteamento, porém, no ASA eu estou “apanhando”… Já habilitei o Reverse Route Injection dos 2 lados, mais ainda sim a comunicação não é possível.

    5 – Ao monitorar (via traffic Log) no Huawei, eu disparo uma sequencia de pings do SERVER-01 para o SERVER-02 e este tráfego não aparece no registro (levando á crer que o ASA está barrando esta comunicação), e vice-versa

    É possível implementar este cenário, ou tenho que usar recursos adicionais (route maps, PBR) no ASA.

    Desde Já, obrigado.

    0

    0
    Anexos:
    You must be logged in to view attached files.
    #189448

    zekkerj
    Participante

    Parece pra mim um cenário de policy routing.

    Alternativamente, vc poderia colocar esses hosts em VLANs separadas do resto de sua rede, e assim oferecer pra eles gateways diferentes (que os levariam pra VPN certa).

    0

    0

    -----------------------------------------------------------------------------
    Receba Johrei e purifique seu Espírito.
    http://www.messianica.org.br/colunas-da-salvacao

    #189457

    esdras.uj
    Participante

    Ola Daniel,
    Ha um bom tempo que nao trabalho com ASA, nao sei se os “next-generation firewalls” fazem PBR, os antigos ASAs pelo menos nao faziam. Concordo com o Zekkerj, e um cenario para PBR ou VLANs isoladas, porem, nao sei se esse modelo de ASA faz PBR e acho que colocar os servidores em VLANs separadas nao seria algo pratico. Uma ideia que tive mas que exigiria hardware adicional seria adicionar dois roteadores (um em cada lado) e fechar um GRE over IPSec, dessa forma voce poderia ter um controle maior no roteamento e provavelmente teria que mudar as redes de origem e destino na sua nova VPN.
    Por gentileza, poste a solucao caso a encontre, esse caso e bem interessante.

    Valeu!

    0

    0
Visualizando 3 posts - 1 até 3 (de 3 do total)

Você deve fazer login para responder a este tópico.