cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Cisco ASA 5515 con multiples VPN site to site pero distintas IPs

Hola!

Actualmente tengo una ASA 5515 al cual nuestros clientes tienen una VPN site to site con la IP publica de nuestro ASA, estoy requiriendo para nuestros nuevos clientes se conecten al mismo ASA pero a una IP publica distinta.

1 RESPUESTA

Hola Allan,

Hola Allan,

Entiendo, que los nuevos clientes se van a conectar a otra IP publica, diferente a los clientes que ya estan establecidos. Por ejemplo:

- Nuevos Clientes se conectaran a: XXXXXXXX

- Clientes ya establecidos:  YYYYYYYYY

Por lo cual se podria decir que tenemos dos ISP en dos Interfaces con IPs publicas, si tienes el crypto map aplicado a la Interfaz con la IP YYYYYY y una ruta por defecto hacia esa interfaz, y ahora ocupas que los nuevos clientes se conecten a la XXXXXXX, debes crear un nuevo crypto map, y aplicar ese nuevo crypto map a la interfaz con la IP publica XXXXXX, y tambien el crypto IKEv1 a la interfaz XXXXXXX, luego crear rutas estaticas que apunten hacia el next hop de la interfaz XXXXXX para el trafico interesante:

Configuracion:

crypto ikev1 interface Outside-XXXXX   --> Este aplica fase 1 en la interface con IPs XXXX

crypto map MAP-XXX interface Outside-XXXXX

crypto map MAP-XXX match address (ACL creada para el trafico interesante)

crypto map MAP-XXX peer (IP publica del Cliente)

crypto map MAP-XXX set ikev1 transform-set (IPSec transform set)

route Outside-XXXX 10.10.10.0 255.255.255.0 X.X.X.X  --> Este es un ejemplo con IPs privadas, seria el trafico interesante.

Luego debes configurar un NAT exemption, que evitaria la traduccion del NAT, por ejemplo:

Local IPS: 192.168.1.0 255.255.255.0

Remote IPs: 10.10.10.0 255.255.255.0

Configuracion:

object network obj-10.10.10.0/24

  subnet 10.10.10.0 255.255.255.0

object network obj-192.168.1.0/24

  subnet 192.168.1.0 255.255.255.0

nat (inside,outside-XXX) 1 source static obj-10.10.10.0/24 obj-10.10.10.0/24 destination static obj-192.168.1.0/24 obj-192.168.1.0/24 no-proxy-arp route-lookup

Corre un par de packet tracers y test y el VPN deberia levantar. Lo puedes verificar con los comandos:

show crypto ikev1 sa    --> Fase 1

show crypto ipsec sa peer (IP publica)  --> Fase 2

Dejame saber si hay alguna pregunta, por favor no olvides calificar la respuesta y marcarla como correcta,

David Castro,

64
Visitas
5
ÚTIL
1
Respuestas