09-19-2018 07:56 AM - editado 09-19-2018 08:09 AM
Hola a todos
Es posible establecer trafico entre dos VPN site-2-site, me explico: tengo una VPN establecida con una red remota 192.168.10.0/24, y otra VPN con la red remota 172.16.20.0/24, ambas configuradas en la misma interfaz outside, es posible establecer comunicación entre estos dos segmentos.
El FW es un ASA 5516, Gracias por el apoyo
09-20-2018 05:05 AM - editado 09-20-2018 05:06 AM
Hola,
Si se puede realizar este tipo de comunicacion, en IOS anteriores se utilizaba un mecanismo llamando NAT0, en las nuevas imagenes podrias realizar un NAT estatico, para que el trafico que llegue al firewall en comun no se vaya hacia Internet por la ruta por defecto.
Te comparto un par de links: https://community.cisco.com/t5/vpn-and-anyconnect/routing-traffic-between-two-site-to-site-vpn-tunnels/td-p/2183148
Si gustas dejame hacer un lab y te comparto la configuracion.
Saludos
el 10-12-2018 05:44 PM
Hola.
Una vez que los túneles se hayan establecido, básicamente necesitas permitir el trafico en la misma interface outside y ademas crear un Identity NAT entre las redes que requieres comunicar, en este caso: 192.168.10.0/24 y 172.16.20.0/24
sysopt connection permit-vpn
same-security-traffic permit intra-interface
nat (outside,outside) source static obj-192.168.10.0 obj-192.168.10.0 destination static obj-172.16.20.0 obj-172.16.20.0 route-lookup no-proxy-arp
el 07-16-2019 10:35 AM
Muy buenas tardes, tengo un escenario similar.
Necesito establecer comunicación en ambas direcciones del Host 192.168.1.138 (C) y los Host 172.29.224.30 y 172.29.224.31 (A).
La VPN entre el sitio A y B comparten los objetos sobre la VPN:
VPN A->B
Red Local "COLECTORS":
172.29.224.30/32
172.29.224.31/32
Red Remota "MONITOREO_NAT":
172.24.10.22/32
VPN B->A
Red Local:
172.24.10.22/32 "MONITOREO_NAT" -> se realiza un NAT a la IP 192.168.1.138 "MONITOREO_REAL"
Red Remota:
172.29.224.30/32
172.29.224.31/32
VPN B->C:
Red Local "COLECTORS":
172.29.224.30/32
172.29.224.31/32
Red Remota:
192.168.1.0/24
VPN C->B:
Red Local:
192.168.1.0/24
Red Remota:
172.29.224.30/32
172.29.224.31/32
Hasta el momento he logrado establecer la comunicación de C (192.168.1.138) a los dos Host de A (172.29.224.30 y 172.29.224.31).
Pero no he logrado establecer la comunicación de A (172.29.224.30 y 172.29.224.31) a C (192.168.1.138).
Nota: desde A se manda la solicitud a la IP NAT 172.24.10.22 y la cual después se traduce a 192.168.1.138.
Sitio B
nat (Outside,Outside) source static MONITOREO_REAL MONITOREO_NAT destination static COLECTORS COLECTORS no-proxy-arp
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad