Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
1230
Visitas
0
ÚTIL
3
Respuestas

Trafico entre 2 VPN site-2-site

Javier_OrD
Level 1
Level 1

‎09-19-2018 07:56 AM - editado ‎09-19-2018 08:09 AM

Hola a todos

 

Es posible establecer trafico entre dos VPN site-2-site, me explico: tengo una VPN establecida con una red remota 192.168.10.0/24, y otra VPN con la red remota 172.16.20.0/24, ambas configuradas en la misma interfaz outside, es posible establecer comunicación entre estos dos segmentos. 

Dibujo1.png 

El FW es un ASA 5516, Gracias por el apoyo

1 persona encontrado con este problema.
Etiquetas:
0 Útil
3 RESPUESTAS 3

Julio E. Moisa
VIP
VIP

‎09-20-2018 05:05 AM - editado ‎09-20-2018 05:06 AM

Hola,

Si se puede realizar este tipo de comunicacion, en IOS anteriores se utilizaba un mecanismo llamando NAT0, en las nuevas imagenes podrias realizar un NAT estatico, para que el trafico que llegue al firewall en comun no se vaya hacia Internet por la ruta por defecto.

Te comparto un par de links: https://community.cisco.com/t5/vpn-and-anyconnect/routing-traffic-between-two-site-to-site-vpn-tunnels/td-p/2183148

 

https://community.cisco.com/t5/security-documents/routing-traffic-between-two-site-to-site-vpn-tunnels/ta-p/3145351

 

Si gustas dejame hacer un lab y te comparto la configuracion.

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

romherna
Cisco Employee
Cisco Employee

el ‎10-12-2018 05:44 PM

Hola.

 

Una vez que los túneles se hayan establecido, básicamente necesitas permitir el trafico en la misma interface outside y ademas crear un Identity NAT entre las redes que requieres comunicar, en este caso: 192.168.10.0/24 y 172.16.20.0/24

 

sysopt connection permit-vpn

same-security-traffic permit intra-interface

nat (outside,outside) source static obj-192.168.10.0 obj-192.168.10.0 destination static obj-172.16.20.0 obj-172.16.20.0 route-lookup no-proxy-arp

 

 

 

0 Útil

emunguia23
Level 1
Level 1
En respuesta a romherna

el ‎07-16-2019 10:35 AM

Muy buenas tardes, tengo un escenario similar.

 

Necesito establecer comunicación en ambas direcciones del Host 192.168.1.138 (C) y los Host 172.29.224.30 y 172.29.224.31 (A).

 

La VPN entre el sitio A y B comparten los objetos sobre la VPN:

VPN A->B

Red Local "COLECTORS":

172.29.224.30/32

172.29.224.31/32

Red Remota "MONITOREO_NAT":

172.24.10.22/32

VPN B->A

Red Local:

172.24.10.22/32 "MONITOREO_NAT" -> se realiza un NAT a la IP 192.168.1.138 "MONITOREO_REAL" 

Red Remota:

172.29.224.30/32

172.29.224.31/32

VPN B->C:

Red Local "COLECTORS":

172.29.224.30/32

172.29.224.31/32

Red Remota:

192.168.1.0/24

 

VPN C->B:

Red Local:

192.168.1.0/24

Red Remota:

172.29.224.30/32

172.29.224.31/32

 

Hasta el momento he logrado establecer la comunicación de C (192.168.1.138) a los dos Host de A (172.29.224.30 y 172.29.224.31).

 

Pero no he logrado establecer la comunicación de A (172.29.224.30 y 172.29.224.31) a C (192.168.1.138).

Nota: desde A se manda la solicitud a la IP NAT 172.24.10.22 y la cual después se traduce a 192.168.1.138.

 

Sitio B

 

nat (Outside,Outside) source static MONITOREO_REAL MONITOREO_NAT destination static COLECTORS COLECTORS no-proxy-arp

 

 

 

 

 

image.png

0 Útil
Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents