Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Nouveau sujet
1328
Visites
5
Compliment
8
Réponses

Comment configurer 2 tunnels VTI VPN sur ASA avec une seule IP publique / How to setup 2 VTI tunnels VPN on ASA with only one public IP

Accéder à la solution
sam cook
Spotlight
Spotlight

le ‎15-04-2020 02:13 AM - dernière modification le ‎02-07-2020 11:17 AM par Community Manager

Salut,

Je me demande comment configurer 2 tunnels VTI sur ASA avec une seule IP publique (devant 2 tunnels avec 2 différentes ip public). C'est possible ? Et si oui comment?

Plus de détails: j'ai un cluster actif-passif ASA sur V9.8 et j'ai besoin de configurer un tunnel VTI avec deux ASR ayant 2 ISP (2 IP publiques) et 2 tunnels VTI.

Merci

Texte d'origine:

Hi,

I wonder how to setup 2 VTI tunnels on ASA with only one public IP (in front of 2 tunnels with 2 different public ips)

Is it possible ? and if yes how ?

More details : I have a cluster actif-passive ASA on V9,8 and I need to setup a VTI tunnel with two ASR having 2 ISP (2 public IP) and 2 VTI tunnels.

Thanks 

 

Étiquettes :
0 Compliments
1 SOLUTION APPROUVÉE

Solutions approuvées

Accéder à la solution
Francesco Molino
VIP Alumni
VIP Alumni
En réponse à sam cook

le ‎27-06-2020 11:38 AM - dernière modification le ‎02-07-2020 10:48 AM par Community Manager

Il existe de nombreuses documentations sur le site internet de Cisco.
Si les tunnels sont UP et que vous ne pouvez pas envoyer de ping d'un bout à l'autre, cela peut être:
- routes: mettez une route statique pour éviter tout problème avec le routage dynamique si vous en avez un
- NAT: assurez-vous que vous avez exempté NAT du trafic allant du site A au site B
- access-list: vous pouvez utiliser la commande packet-tracer du trafic interne vers l'autre extrémité, pour voir si l'un des ACL ne vous bloque.

Text d'origine:

There're many documentations on Cisco website.
If tunnels are UP and you can't ping from one end to the other, it could be:
- routes: put a static route to avoid any issues with dynamic routing if you have any
- NAT: make sure you have nat exempt from traffic going from site A to site B
- access-list: You can use packet-tracer command from inside traffic to the other end to see if any ACL is blocking you.


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

Voir la solution dans l'envoi d'origine

0 Compliments
8 RÉPONSES 8

Accéder à la solution
Francesco Molino
VIP Alumni
VIP Alumni

le ‎15-04-2020 07:16 PM - dernière modification le ‎02-07-2020 11:11 AM par Community Manager

Hi

Vous voulez construire 2 vti en utilisant la même interface extérieure ?
Vérifiez ce lien, il indique une configuration générale: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-firewalls/200982-ASA-IPsec-VTI-connection-Amazon-Web-Serv.html

Cet exemple montre la configuration pour asa en montant un vpn vers aws, mais la configuration ne sera pas la même dans votre cas.

Texte d'origine:

You want build 2 vti using the same outside interface?
Check this link, it gives an overview config: https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-firewalls/200982-ASA-IPsec-VTI-connection-Amazon-Web-Serv.html

This example shows config example for asa mounting a vpn towards aws but the config will the same in your use-case. 

Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
0 Compliments

Accéder à la solution
sam cook
Spotlight
Spotlight
En réponse à Francesco Molino

le ‎27-05-2020 02:17 AM - dernière modification le ‎02-07-2020 11:03 AM par Community Manager

Hi @Francesco Molino ,

Merci, j'ai fait les tunnels comme dans l'exemple mais je n'ai pas pu le dépanner.
Pourrions-nous voir les tunnels en ASDM?

Texte d'origine:

Thank you, I made the tunnels as in the example but could not troubleshoot it .
Could we see the tunnels up in ASDM ?

regards,

 

0 Compliments

Accéder à la solution
Francesco Molino
VIP Alumni
VIP Alumni
En réponse à sam cook

le ‎27-05-2020 06:13 PM - dernière modification le ‎02-07-2020 11:05 AM par Community Manager

Pouvez-vous partager votre configuration et la sortie de show ip?

Texte d'origine:

Can you share your config and the output of show ip ?

 


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
0 Compliments

Accéder à la solution
sam cook
Spotlight
Spotlight
En réponse à Francesco Molino

le ‎24-06-2020 03:24 AM - dernière modification le ‎02-07-2020 11:00 AM par Community Manager

Hi @Francesco Molino ,

Je suis désolé mais la configuration est confidentielle.
Je pense que j'ai un problème de route / nat parce que les tunnels sont en place maintenant mais ils ne peuvent pas cingler les ressources distantes.
Avez-vous un lien pour la documentation Cisco qui explique comment configurer les routes et NAT avec les tunnels VTI?

Texte d'origine:

I am sorry but config is confidential,
I think I have a route/nat issue because , the tunnels are up now but could not ping remote ressources.
Do you have any link for cisco documentation that explain how to configure routes and NAT with VTI tunnels?

thanks

 

0 Compliments

Accéder à la solution
Francesco Molino
VIP Alumni
VIP Alumni
En réponse à sam cook

le ‎27-06-2020 11:38 AM - dernière modification le ‎02-07-2020 10:48 AM par Community Manager

Il existe de nombreuses documentations sur le site internet de Cisco.
Si les tunnels sont UP et que vous ne pouvez pas envoyer de ping d'un bout à l'autre, cela peut être:
- routes: mettez une route statique pour éviter tout problème avec le routage dynamique si vous en avez un
- NAT: assurez-vous que vous avez exempté NAT du trafic allant du site A au site B
- access-list: vous pouvez utiliser la commande packet-tracer du trafic interne vers l'autre extrémité, pour voir si l'un des ACL ne vous bloque.

Text d'origine:

There're many documentations on Cisco website.
If tunnels are UP and you can't ping from one end to the other, it could be:
- routes: put a static route to avoid any issues with dynamic routing if you have any
- NAT: make sure you have nat exempt from traffic going from site A to site B
- access-list: You can use packet-tracer command from inside traffic to the other end to see if any ACL is blocking you.


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question
0 Compliments

Accéder à la solution
sam cook
Spotlight
Spotlight
En réponse à Francesco Molino

le ‎30-06-2020 05:57 AM - dernière modification le ‎02-07-2020 10:40 AM par Community Manager

thanks @Francesco Molino :

 

J'ai trouvé le problème, en fait je faisais des règles NAT en utilisant ASDM,  j'ai donc utilisé une interface extérieure comme "source" mais en réalité je devrais avoir utilisé l'interface VTItunnel. Néanmoins, le VTItunnel n'est pas visible dans ASDM, donc il doit être fait en CLI ou alors il faut choisir ANY dans la règle NAT source.

Texte d'origine:

I found the issue, in fact I was doing NAT rules using ASDM, so I used outside interface as "source" but in reality I should use VTItunnel interface. Nevertheless , the VTItunnel is not visible in ASDM , so it should be done in CLI or choose ANY in source NAT rule.

 

0 Compliments

Accéder à la solution
Francesco Molino
VIP Alumni
VIP Alumni
En réponse à sam cook

le ‎01-07-2020 07:07 PM - dernière modification le ‎02-07-2020 10:25 AM par Community Manager

Heureux que cela ait fonctionné.
Je n'utilise pas trop asdm et je vais plutôt à l'ancienne avec la CLI.

Texte d'origine:

Glad it worked.
I don't use to much asdm and go the old fashion way with the CLI.

 


Thanks
Francesco
PS: Please don't forget to rate and select as validated answer if this answered your question

Accéder à la solution
sam cook
Spotlight
Spotlight
En réponse à Francesco Molino

le ‎02-07-2020 09:07 AM - dernière modification le ‎02-07-2020 10:21 AM par Community Manager

Merci beaucoup

Texte d'origine:

Thank you very much

 

0 Compliments

Liens rapides

Parcourez les liens directs de la Communauté et profitez de contenus personnalisés en français

Partager un document Rédiger un blog Vidéos Sécurité
Customers Also Viewed These Support Documents