[ gogi100 @ 28.04.2011. 20:29 ] @
dakle imam tri asa 5505 firewall-a. zastitini zidovi mi se nalaze u test okruzenju. citao sam po netu da kad imam situaciju kao kod mene u firmi centrala i dve ispostave treba da u svakoj ispostavi i centrali postavim po jedan asa firewall i treba ih konfigurisati kao easyvpn. gde ce mi jedan biti vpn server,a ova dva kao easyvpn klijenti. pokusavao sam svasta,ali mi nikako ne ide da ovo iskonfigurisem. da nije mozda problem sto u mom test okruzenju na spoljnim interfejsima stoje staticke adrese na ova tri firewalla, redom 192.168.2.1 serever, 192.168.2.2 klijent i 192.168.2.3 klijent. ja sam setovao firewallowe po sledecim uputstvima,ali ne radi




mozete li mi dati neko uputstvo hvala
[ gogi100 @ 29.04.2011. 09:45 ] @
uspeo sam da postavim jedan asa firewall kao vpn server preko wizarda i port koji je namenjen za konekciju za vani zakacio u mrezu 192.168.2.0/24 gde mi se nalazi veci broj radnih stanica. ove radne stanice preko cisco vpn klijenta se bez problema kace na vpn. nije mi jasno kako setovati ova druga dva firewalla da budu klijenti tj. easy vpn klijenti. kako se radne stanice koje se nalaze iza easy vpn klijenata (2 asa 5505 firewalla) kace na vpn server? da li se koristi isto cisco vpn klijent? mozete li mi dati neko uputstvo kako setovati easy vpn klijente? interesuje me jos,ako na primer vpn mrezi dam opseg 192.168.30.0/24 kako da oni pristupe mojoj lokalnoj mrezi iza vpn servera 192.168.1.0/24. znam da treba napraviti rutiranje. da li cisco firewall pravi sam rute ili je potrebno ove rute postaviti i gde i kako?
ja sam pocetnik, izvinite!
hvala

pc: dodajem i sliku

[Ovu poruku je menjao gogi100 dana 29.04.2011. u 11:00 GMT+1]
[ alex741 @ 05.05.2011. 10:29 ] @
Zasto ne napravis site-to-site VPN izmedju centrale i ispostava?
[ gogi100 @ 07.05.2011. 10:29 ] @
cini mi se da je easyvpn mnogo jednostavnije, jer u site to site vpn-u je potrebno praviti 2 veze-server ispostava, a ispostave ne mogu komunicirati, dok je kod easy vpn-a cak moguce i ovo uraditi
[ alex741 @ 07.05.2011. 16:14 ] @
Da li su ti IP adrese svuda fiksne?
U tom slucaju Site-to-site VPN je isto jedostavan za podesavanje, pogotovo kad imas opremu istog proizvodjaca. Ako namestis da svaki ruter komunicira sa ostala 2, znaci na svakom imas po 2 tunela, onda ce svako sa svakim da komunicira. Jednom sve to podesis i zaboravis na njih. Ja imam takav setup koji radi vec godinama.
Celo podesavanje kroz wizard na sva 3 ce da traje 15 min.

Easy VPN se koristi kad imas mobilne korisnike (sa laptopovima) koji nemaju fiksne IP adrese.

[ gogi100 @ 07.05.2011. 21:54 ] @
ja sam uspeo da setujem vpn server na cisco asa 5505 kao remote access i njemu laptop racunari pristupaju bez problema sa instaliranim softwarom cisco vpn client. medjutim kad hocu radne stanice koje su u ispostavama da zakacim preko cisco asa 5505 koji igra ulogu easy vpn clienta. to mi ne uspeva. desava mi se da u monitoringu asdm-a vidim ovaj firewall i on dobija adresu od vpn server,ali radne stanice iza njega ne mogu da se konektuju preko cisco vpn client-a
[ alex741 @ 09.05.2011. 11:14 ] @
Kao sto rekoh, resenje za tvoj problem je da napravis site-to-site VPN i uspostavices komunikaciju.
Prodji kroz wizard na oba rutera, kroz ASDM, ostavi sve kako je po default-u, postavi jak key i sve ces da zavrsis za 10 minuta.
Probaj, mislim sta te kosta? Nemoj da snimis nista dok se ne uveris da radi, tako da mozes da reload i vratis na staro stanje.
Napravi prvo tunel izmedju jedne ispostave i centrale, vidi kako radi, pa onda odradi i drugu ispostavu isto tako.
U centrali ces da imas dva tunela i EasyVPN, sto sve nije problem da radi zajedno. Mozes da pratis kroz monitor memoriju i CPU u vreme jakog saobracaja i da vidis da li ima problema.
Na kraju mozes da napravis i tunel ispostava-ispostava.
Na svakom site-u normalno imas razlicite privatne LAN-ove?

Ne znam gde si citao da to treba da se uradi kroz EasyVPN, ali koliko ja znam ovako se radi kad imas dva rutera sa fiksinim IP adresama. Isto, kao sto rekoh, meni to radi tako vec godinama.
[ gogi100 @ 09.05.2011. 12:14 ] @
izvini jedno pitanje. kad se uspostavi site-to-site konekcija izmedju firewall-a centrale i firewall-a ispostave. klijenti se na vpn kace preko cisco vpn clienta ili postoji neki drugi nacin?
[ alex741 @ 09.05.2011. 12:41 ] @
Ne, ne treba ti vpn client.
Cisco ce da rutira saobracaj za centralu kroz tunel.
Klijenti u ispostavi samo treba da imaju Cisco lokalnu adresu kao default gateway.
[ gogi100 @ 09.05.2011. 19:25 ] @
ne razumemte bas najbolje, koju cisco lokalnu adresu?

ja sam pokusao da sa cisco vpn klijentom da se zakacim ukucam kao korisnicko ime i lozinku postavljenu na asa 5505 site vpn serveru i on se zakaci,ali taj klijent ne moze da pristupi racunarima u suprotnoj mrezi
[ alex741 @ 09.05.2011. 21:39 ] @
Pod lokalnom adresom sam mislio LAN adresu od rutera.

Ako napravis site-to-site tunel, ne treba ti VPN client.
[ alex741 @ 09.05.2011. 22:03 ] @
Pod lokalnom adresom sam mislio LAN adresu od rutera.

Ako napravis site-to-site tunel, ne treba ti VPN client.
[ gogi100 @ 09.05.2011. 22:14 ] @
meni je u centrali smesten active directory, a ovi klijenti sa druge strane u ispostavi bi mi trebalo da se kace na domen kontroler. da li bi ovo bilo izvodivo preko site to site vpn?

ps: ja sam na radnim stanicu postavio default gateway 192.168.1.1,ali ne uspevam da pristupim radnim stanicama u centrali kad ukucam u run-u npr \\192.168.1.6 (sto je ip adresa radne stanice u centrali)

[Ovu poruku je menjao gogi100 dana 10.05.2011. u 10:14 GMT+1]
[ gogi100 @ 10.05.2011. 10:14 ] @
takodje sam primetio da se moja site to site konekcija ne uspostavlja, kako da je uspostavim? masine sa jednog kraja ne mogu pingovati one druge
[ gogi100 @ 10.05.2011. 11:56 ] @
da slucajno nije potrebno postaviti staticke rute, ili je mozda problem sa inside adresama koje moji korisnici dobijaju od asa 5505( na obe strane je isti opseg 192.168.1.0)
[ alex741 @ 10.05.2011. 12:12 ] @
1. Da li imas fiksne javne IP adrese na oba rutera?
2. Da li si prosao Site-to-Site wizard kroz ASDM na oba rutera, sa istim parametrima (normalno sa obrnutim Peer IP Address-ama)?
3. Koje su private (LAN) adrese na oba rutera?
4. Koja je adresa DC u centrali i da li mozes da ga pingujes sa radnih stanica u centrali?

Kad sve proradi, moci ces da se logujes iz ispostava na DC u centrali.
[ gogi100 @ 10.05.2011. 12:36 ] @
meni je ovo test okruzenje tako da spoljne adrese firewall-ova su staticke iz opsega 10.13.74.0/24

loklalne adrese sa obe strane su iz opsega 192.168.1.0/24
sa obe strane sam prosao wizard gde mi je pre shared key isti na obe strane a ip peer su adrese sa kontra strane.
ping mi radi sa LAN strane jednog firewalla,ali kad hocu ping sa strane na drugu stranu to ne radi.
DC mi je na adresi 192.168.1. 250
[ alex741 @ 11.05.2011. 09:14 ] @
Moras da razdvojis te mreze, sve jedno sto je test okruzenje, na primer:

1. Centrala
subnet: 192.168.1.0/24
ruter: 192.168.1.1

2. Ispostava
subnet: 192.168.2.0/24
ruter: 192.168.2.1

I onda prodji kroz wizard opet.

Predpostavljam da si WAN-ove od rutera vezao direktno, da ih ne mesas sa LAN saobracajem?
[ gogi100 @ 11.05.2011. 18:59 ] @
da wan portovi firewallova su vezani. medjutim imam problema da lan stranama promenim ip adrese to mi ne uspeva. pokusavao sam da dhcp firewalla koji dodeljuje ip adrese radnim stanicama promenim opseg adresa i da adresu firewall-a promenim na 192.168.2.1,ali kad to uradim ne mogu da pristupim adsm-u tog firewalla. to mi je problem i ne znam kako to da uradim. mozes li mi pomoci?
hvala
[ alex741 @ 11.05.2011. 20:48 ] @
Mislim da ti je najjednostavnije da iz ASDMa, iz menija Wizards, pokrenes Startup Wizard, pa na "Reset configuration to factory defaults", pa iz pocetka, sa novim IP...
[ gogi100 @ 12.05.2011. 13:07 ] @
uradio sam kako si rekao,ali i dalje korisnik sa jedne strane ne moze pristupiti korisniku sa druge strane site-to-site vpn-a.
[ gogi100 @ 12.05.2011. 14:41 ] @
problem sam resio tako sto sam dodao staticke rute ka mojim mrezama i sve je profunkcionisalo.

komande su bile: route outside 0.0.0.0 0.0.0.0 10.13.74.250 1 na jednom firewallu, a na drugom route outside 0.0.0.0 0.0.0.0 10.13.74.251 1 i cim sam pokusao ping, sve je proradilo
[ alex741 @ 12.05.2011. 19:19 ] @
Odlicno, sad napravi tunel Centrala-Ispostava2 i Ispostava1-Ispostava2.
Normalno Ispostava2 ce da ima novi IP range.

EasyVPN ti sad treba samo za mobilne korisnike koji su van office-a.
[ gogi100 @ 13.05.2011. 07:58 ] @
napravio sam sve i sve sljaka. medjutim, ovo je test okruzenje. da li bi ova konfiguracija funkcionisala,ako ispred ova dva firewalla postavim dva rutera provajdera, jedan sa jedne strane jedan sa druge strane. konkretno je upitanju provajder orion. moja firma ce dobiti l3vpn a ja hocu kroz taj njihov da proguram i moj vpn site to site i remote access vpn. da li je potrebno dodatno jos nesto podesavati na mom vpn-u, ili je potrebno izvrsiti samo natovanje na provajderovim ruterima ka mojim firewall-ovima? da li je potrebno dodavati jos neke staticke rute?
hvala
[ alex741 @ 16.05.2011. 13:35 ] @
VPN kroz NAT u teoriji radi ali ne na svim uredjajima. Ja moj Cisco nisam uspeo da nateram da radi kroz neki Thomson ADSL modem, ali posto je PPPoE, onda ja dial-up i dobijem Public IP na WAN intreface.
E sad ne znam bas kakve uredjaje ima Orion?
Ako je to ADSL modem sa PPPoE onda tvoj Cisco mora da dial-up da bi dobio Public IP.

A sto u opste pravis svoj VPN ako ti Orion pruza l3VPN? Zar oni ne garantuju privatnost i izolaciju?
[ gogi100 @ 17.05.2011. 07:53 ] @
moj VPN pravim jer nisam bas sto posto siguran da garantuju bezbednost. mozda bezbednost prema vani,ali bezbednost prema njima nisam bas siguran.
nije mi bas jasna ova recenica da dial-up da da bi dobio Public IP. Ja mislim da i orion verovatno stavlja neki ruter cija inside strana preko dhcp-a ili staticki dodeljuje adresu wan portu mojem firewall-u.
Citat:
Ako je to ADSL modem sa PPPoE onda tvoj Cisco mora da dial-up da bi dobio Public IP.

[ alex741 @ 23.05.2011. 12:11 ] @
Izvini al prosle nedelje nisam stigao da disem od posla.

Proveri sa Orionom sta ce da ti daju.
ASDL modem/router sa PPPoE ili nesto drugo?

Mozes isto da proveris da li garantuju bezbednost i da li ce to da ti daju napismeno, pa da pojednostavis sve.

Ako i dalje zelis da koristis svoj VPN, zasto ne uzmes obcnu internet konekciju?