cancelar
Mostrar resultados para 
Pesquisar em vez de 
Queria dizer: 
Comunicados
Bem-vindo à Comunidade de Suporte da Cisco, gostaríamos de ter seus comentários.

Dialup VPN Router cisco x Fortigate hub

Olá senhores,
Estou com uma demanda e gostaria de saber se algum de vocês já atendeu algo parecido e possui alguma documentação para que eu possa me dar andamento a atividade.

Cenário
1x Fortigate virtual, firmware 5.4 na Amazon (todos os servidores do cliente estão hospedados na amazon)
25x filiais com 10 usuários em média

A maioria das filiais possuem 1x router cisco 2900 series e 1 link de internet IP dinânico.

A proposta neste caso é a seguinte, subir um fortigate em modo HUB de VPN Dialup na Amazon e os roteadores serem spoke nas filiais.

Algum de vocês já subiu um cenário parecido?

Rede Amazon: 192.168.1.0/24

Rede filial: 192.168.2.0/24

Configuração que estou usando no roteador 2911 em laboratório:

crypto isakmp policy 10
 authentication pre-share
 group 2
crypto isakmp key teste@teste address 10.1.1.1
crypto isakmp profile AP
   keyring default
   match identity address 10.1.1.1 255.255.255.255
   initiate mode aggressive

!
!
crypto ipsec transform-set X esp-3des esp-sha-hmac
!
crypto map X isakmp-profile AP
crypto map X 10 ipsec-isakmp
 set peer 10.1.1.1
 set transform-set X
 match address VPN

!

interface Loopback0
 ip address 10.2.1.185 255.255.255.255
!
interface FastEthernet0/0
 ip address 192.168.2.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.1.1.2 255.255.255.0
 ip ospf network point-to-point
 duplex auto
 speed auto
 crypto map X

!

router ospf 1
 router-id 10.2.1.185
 log-adjacency-changes
 redistribute connected subnets
 passive-interface FastEthernet0/1
 network 10.2.1.185 0.0.0.0 area 0
 network 192.168.255.0 0.0.0.255 area 0
!

ip access-list extended VPN
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip host 10.2.1.185 host 10.2.1.153




Abaixo descrevo como estou deixando a configuração do HUB em laboratório.

config vpn ipsec phase1-interface
edit "HUB"
set type dynamic
set interface "wan1"
set mode aggressive
set mode-cfg enable
set proposal 3des-sha1
set add-route disable
set dhgrp 2
set ipv4-start-ip 192.168.255.0
set ipv4-end-ip 192.168.255.255
set psksecret ENC ****
next
end


config router ospf
config area
edit 0.0.0.0
next
end
config ospf-interface
edit "TO-SPOKE"
set interface "HUB"
set dead-interval 40
set hello-interval 10
set network-type point-to-point
next
end
config network
edit 1
set prefix 192.168.1.0 255.255.255.0
next
edit 2
set prefix 10.2.1.153 255.255.255.255
next
end

edit 2
set name "vpn-in"
set srcintf "HUB"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next
edit 3
set name "vpn-out"
set srcintf "internal"
set dstintf "HUB"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next

config system interface
edit "wan1"
set vdom "root"
set ip 10.1.1.1 255.255.255.0
set allowaccess ping fgfm
set type physical
set role wan
set snmp-index 2

edit "lan"
set vdom "root"
set ip 192.168.1.1 255.255.255.0
set allowaccess ping https ssh
set type hard-switch
set stp enable
set snmp-index 6
next

edit "lo0"
set vdom "root"
set ip 10.2.1.153 255.255.255.255
set allowaccess ping
set type loopback
set snmp-index 8
next


Obrigado.

21
Apresentações
0
Kudo
0
Respostas