Routing Problem / Cisco ASA

[firsttime 10]

Hallo,

 

folgendes Szenario..

10.10.10.0 LAN -> PIX -> RouterISP -> INET

Das ist der IST-Zustand nun wird ein Sub-Firma mit angebunden, welche mit einem VPN zwischen zwei Routern angebunden wird.

Soll-Szenario:

10.1.1.0 LAN-Extern -> Router1 (10.1.1.1) -> <-VPN-> -> Router2 (10.10.10.10) -> switch -> -PIX <- 10.10.10.0 LAN

Sprich sind die beiden Netze über den switch gekoppelt. Die PIX ist DefaultGateway mit der 10.10.10.100

 

Im LAN stehen alle Server für AD, DNS, Proxy etc. Wie muss ich nun die PIX konfigurieren, um das LAN-Extern anzubinden?

Mit "route 10.10.10.10 255.0.0.0 10.10.10.100" wäre eine Idee, nur hätte ich da wohl das Problem mit asymetrical Routing. Gibt es da saubere ALternativen?

 

Gruss

[blackbox 10]

Hallo,

 

das wird mit der PIX nicht klappen, da diese nicht auf dem Interface routen kann. Wenn das andere ein "Router" ist, würde ich den als Default im Netz böse machen und dort die Routen eintragen. Warum läßt du die PIX nicht auch das VPN machen ?

[firsttime 10]

Hallo,

 

Danke für das Feedback.

Kurz vorneweg, was genau meinst du mit:

Wenn das andere ein "Router" ist, würde ich den als Default im Netz böse machen und dort die Routen eintragen.

 

Die PiX (oder jedes andere device) kann in diesem Fall nicht routen, weil es ja im selben Netz nichts zu routen gibt, korrekt?

Ein VPN hätte ich gerne gemacht zwischen Router1 und PIX, nur ist das nicht gewünscht.

 

Eine Alternative wäre doch auch ein Subinterface auf der PIX einzurichten, und zwischen PIx und Router2 ein "Transportnetz" zu bauen in einem ganz anderen Subnetz, oder?

 

Gruss

[blackbox 10]

Hallo,

 

du kannst doch deinen "Router 2" als Gefault Gateway im Netz eintragen und auf dem das Routing nach "aussen" wieder zurück zur Pix. Den ein Router kann in der Regel auf dem selben Interface Pakete rein und auch direkt wieder rausgeben (sprich Routing auf 1 Interface) - die Pix kann nur von einem zum anderen Interface routen.

 

Was hast du für einen Switch - wenn der L3 kann - dann solltest du den nehmen.

 

Ob das mit dem VPN auf der PIX gewünscht ist oder nicht - es gibt sachen - die sollte man dem Kunden halt nahe legen - weil sie sinnvoller sind.

[firsttime 10]

Hallo,

 

die Empfehlung ist selbstverständlich geschehen.. ;-)

 

Wen ich den Router2 als DeGW eintrage, hätte ich doch das Problem mit asymetrical Routing, sprich nehmen die Pakete unterschiedliche Routen für Hin- und Rückweg. Das kann bei Stateful Inspection meines Erachtens nach hinten los gehen, oder sehe ich das falsch?

[blackbox 10]

Hallo,

 

ne das hast du nicht - den das Statefull findet ja erst auf der PIX statt - du solltest ja auf dem Router per Policy Based Routing definieren - das nur dort die Daten für den VPN Tunnel raus gehen und der Rest wieder über Inside an die PIX geleitet werden - dann passiert dort erst das Stateful Inspection.

[firsttime 10]

Hmm, aber wie soll die Kommunikation mit AD, DNS laufen (die ja im 10.10.10.0 LAN stehen)?

[blackbox 10]

Hallo,

 

was hat das eine mit dem anderen zu tun ? Wenn dein Routing sauber ist, geht das auch - du musst nur die DNS von der anderen Seite benutzen oder bei dir im DNS eintragen.

 

Die Router oder Firewall interessiert die AD nicht und umgekehrt.