[ gogo82 @ 19.05.2011. 18:51 ] @
Pozdrav svima!!!

Na poslu sam naisao na jedan problem sa Cisco PIX-e, tacnije sa uspostavljanjem dva IPSec tunela (LAN-to-LAN) sa drugom firmom (nazvacemo je FIRMA B).

Evo o cemu se radi ...

Sve do neki dan, moja firma je imala IPSec tunel prema toj drugoj FIRMI B, LAN-to-LAN koji se koristio da radne stanice sa privatne mreze te druge firme, pristupaju jednom nasem serveru na nasoj privatnoj mrezi ... klasicno IPSec peering i sve je funkcionisalo OK.

Medjutim, sad je ta firma zakupila dodatni Internet link tako da sad koristi redundantni izlaz na javni internet i zeli da i preko tog redundantnog linka (razlicit firewall) ostvari drugi IPsec tunel prema nasoj mrezi LAN-to-LAN. Problem je sto mi nemamo dva izlazna firewall-a na kao oni.



Znaci FIRMA B ima dva izlazna firewall-a. Firewall 1 se koristi kao ISAKMP Peer u vec postojecem tunelu, dok se drugi Firewall treba koristiti kao ISAKMP Peer za novi, dodatni tunel. LAN mreza FIRME_B znaci moze da izlazi na javnu mrezu preko ta dva FIREWALL-a.

Moja firma ima samo jedan izlazni firewall, Cisco PIX 515e, i njegova javna adresa se koristi kao ISAKMP peer u oba tunela (gledano sta strane FIRME B).

Znaci treba da postoje dva IPSec tunela na LAN FIRME_B i to:
1. tunel: formiran izmedju naseg_FIREWALL-a i Firewall-a_1 FIRME_B
2. tunel: formiran izmedju naseg FIREWALL-a i Firewall-a_2 FIRME_B
Saobracaj treba da bude load balance ili da se jedan tunel korisdti kao primarni a drugi kao sekundarni.

Na NASEM FIREWALL-u postoji staticka outside ruta na LAN FIRME B gdje je NEXT HOP jednak IP adresi FIREWALL_1 sa defaultnom administrativnom distancom 1.
Pokusao sam da dodam jos jednu rutu na LAN FIRME B gdje bi NEXT HOP bio jednak IP adresi FIREWALL_2 sa istom Administrativnom distancom 1 ali mi to PIX ne dozvoljava, tako da kad nasi serveri iniciraju podizanje tunela, uvijek saobracaj ide preko vec postojeceg tunela, tj na FIREWALL_1 FIRME B. Do sada nisam pronasao nacin kako da se koristi i drugi tunel ako npr prvi tunel otkaze.

Ima li neko ideju kako da napravim, uzimajuci u obzir postojecu topologiju, da mogu da koristim i drugi IPSec tunel kao LOAD BALANCE ili da se drugi tunel koristi kao backup u slucaju da prvi tunel ne radi?????

Na netu sam nasao sledece: http://itknowledgeexchange.tec...tanswers/pix-firewall-problem/ gdje se navodi da nesto takvo (load balance na PIX-u) nije moguce. Da li neko mozda zna rjesenje ili se susreo vec sa slicnim problemom???

Hvala unaprijed!!!

[Ovu poruku je menjao gogo82 dana 19.05.2011. u 20:02 GMT+1]

[Ovu poruku je menjao gogo82 dana 19.05.2011. u 21:25 GMT+1]
[ gogo82 @ 19.05.2011. 19:16 ] @
Malopre sam na Cisco Support forumu naisao na ovo, pa cu sutra probati ....

**************************************************************************************
See "Site to Site Redundancy" here..



http://www.cisco.com/en/US/doc.../guide/ipsecint.html#wp1045462



"You can define multiple peers by using crypto maps to allow for redundancy. This configuration is also most useful for site-to-site VPNs. If one peer fails, there will still be a protected path. The peer that packets are actually sent to is determined by the last peer that the PIX Firewall heard from (received either traffic or a negotiation request from) for a given data flow. If the attempt fails with the first peer, IKE tries the next peer on the crypto map list."



crypto map newmap 10 set peer 1.1.1.1

crypto map newmap 10 set peer 2.2.2.2



isakmp key ******** address 1.1.1.1 netmask 255.255.255.255

isakmp key ******** address 2.2.2.2 netmask 255.255.255.255



Please rate if it helps.
**********************************************************************

[Ovu poruku je menjao gogo82 dana 19.05.2011. u 21:43 GMT+1]
[ gogo82 @ 22.05.2011. 08:34 ] @
Ako nekog zanima ....

Problem resen!!! tj, i u praksi potrvdjeno da se ne mogu oba kanala koristiti kao load balance, vec samo jedan, a drugi se kativira kad je prvi fail.
[ sale83 @ 29.05.2011. 02:00 ] @
To nije tacno da se saobracaj ne moze balansirati izmadju dva IPSec tunela. Sa EIGRP bi to bez problema uradio ako obe strane imaju PIX/ASA firewalls.
[ gogo82 @ 30.05.2011. 05:30 ] @
@Sale83

Sa moje strane je samo jedan PIX, a ovi u drugoj formi imaju dvije ASA-a ...

Imas ovdje clanak sa Cisco support foruma:

http://www.cisco.com/en/US/doc.../guide/ipsecint.html#wp1045462

Lepo pise:

"You can define multiple peers by using crypto maps to allow for redundancy. This configuration is also most useful for site-to-site VPNs. If one peer fails, there will still be a protected path. The peer that packets are actually sent to is determined by the last peer that the PIX Firewall heard from (received either traffic or a negotiation request from) for a given data flow. If the attempt fails with the first peer, IKE tries the next peer on the crypto map list."

Uostalom, u mom slucaju kod pravljenja IPSec-a izmedju dvije kompanije, ne moze se podizati EIGRP, tako da .....
Da bi napravili load-balance IPSec preko dva tunela, morali smo slijedece da uradimo:
1. odredisna mreza na toj drugoj firmi je 192.168.0.0/24
2. prvi tunel (izmedju mog PIX-a i jedne ASA-a u toj drugoj firmi, je konfigurisan tako da se u mojoj ACL koja odredjuje saobracaj koji ce inicirati podizanje tunela, kao odrediste navedena ta mreza 192.168.0.0/24
3. kod drugog tunela, kolega iz te druge firme je NAT-ovao odredisnu mrezu 192.168.0.0/24 u 172.16.0.0/24, a ja sam u svojoj ACL koji odredjuje saobracaj za podizanje drugog tunela naveo kao odrediste tu mrezu 172.16.0.0/24.
4. tako da sad na mom PIX-u postoje dvije crypto map-e, po jedna za svaki tunel. Jedan tunel se aktivira kad je odrediste 192.168.0.0/24, a drugi kad je odrediste 172.16.0.0/24
5 Kolega sa druge strane, je takodjer konfigurisao da mu saobracaj ide ravnomjerno preko oba tunela.

Tek nakon ovoga, uzevsi nasu topologiju u obzir (na mojoj strani samo jedan PIX, na drugoj strani dvije ASA-a), moze se postici da oba tunela rade istoveremeno.