VPN Anbindung mit 2 ISP (Cisco ASA/2800/8xx)

[v-rtc 88]

Hallo zusammen.

 

Ich bin neu hier und dachte vielleicht könnt Ihr mir weiterhelfen.

 

Folgendes:

Wir haben zwei unterschiedliche ISP. Diese werden an der Firewall (Cisco ASA)

getrennt. Nun wollen wir für jeden ISP ein 2800 Router einsetzen für VPN.

 

Nun ist die Frage, wie man das ganze umsetzen kann.

1 Router 1 ISP , 2 Router 2 ISP. Soweit so gut. Was muss man aber beim VPN Client oder den Cisco 8xx Routern mitgeben, damit diese im Fehlerfall umswitchen könnten?

 

Hat dies jemand so schon mal ausprobiert oder ähnliche Erfahrungen gesammelt?

 

Vielen Dank.

 

Grüße

 

R.Wolff

[blackbox 10]

Hallo,

 

ich verstehe noch nicht so genau, was du da vor hast - Router statt ASA oder was ? VPN von euch zu den anderen ? Eigene IP´s oder ISP IP´s ?

[v-rtc 88]

Ok, sorry.

 

Also wir haben zwei ASA's.

1 ASA -> ISP 1

2 ASA -> ISP 2

 

Dazu haben wir momentan 2x 2800 VPN Router die HSRP fahren.

Wir wollen diese aber nun trennen, sprich

1 2800 -> ISP 1

2 2800 -> ISP 2

 

Somit hätten wir zwei Wege zu uns ins System.

Nun ist aber die Frage, wie man das auf den Clients (Software und Hardware (8xx Router)) umsetzen kann.

 

Der VPN Weg geht von Clients zu uns.

 

Hoffe Ihr versteht was ich meine.

 

Vielen Dank.

 

Grüße

 

R.Wolff

[blackbox 10]

Hi,

 

zum einen - warum lasst ihr die ASA kein VPN machen - Die Performance reicht doch völlig ? Dein Problem von aussen - kannst du im VPN Client einstellen - da kannst du Backup Server eintragen - dann Probiert der VPN Client die andere IP. Für Site2Site Verbindungen ist es nicht so einfach - da ja hier auch fix die IP´s drin stehen. Ich meine wenn die Verbindung "nur von einer ASA" ausgeht kann man der 2 IP´s geben - beim Router tue ich mich da etwas schwer - habe ich noch nicht ausprobiert.

[Wordo 11]

Also ich wuerd die ASA im Active/Standby laufen lassen und beide ASA's an beiden ISP-Uplinks stecken, dann hast du Redundanz bei Leitung und System. Die 2800 blasen doch viel weniger Traffic durch, oder bist du auf BGP angewiesen?

[blackbox 10]

Hi,

 

ich denke nicht das er BGP braucht - den dann haette er ja nicht das Problem mit den VPN Clients. (Denke er hat ISP IP´s)

[Wordo 11]

Also wenn VPN und Redundanz im Vordergrund stehen ist der Weg von ASA zu Router verkehrt.

[v-rtc 88]

Hallo.

 

Danke für die schnelle Antworten.

 

@blackbox

Das ist eine gute Frage. Es wurde damals so Angeboten und leider auch umgesetzt. Dies hat sicher auch Gründe, das wir selbst nicht so viel KnoffHoff

haben.

Ok, danke. Das mit dem Router wird sicher ne interessante Geschichte noch.

Muss wohl mal die Command Reference genauer nachlesen.

 

@Wordo

Zu der ASA. Die zwei ASA's laufen virtuell. Sprich 2 x Hardware = 4 x virtuell (Active/Standby).

Wie gesagt die 2800er wurden uns so vorgeschlagen und leider auch umgesetzt. Vielleicht gibt es hier ja andere Lösungen, gerade über die ASA.

Da bin ich aber leider überfragt.

 

Wir haben bei beiden ISP Subnetzte mit IP-Adressen, sprich jeder 2800er Router würde eine IP vom ISP bekommen.

 

Danke.

 

Grüße

 

R.Wolff

–

Also wenn VPN und Redundanz im Vordergrund stehen ist der Weg von ASA zu Router verkehrt.

Die Redundanz wäre hier 2 Active Internet Anbindungen mit jeweils aktiven Komponenten (VPN zum Beispiel).

So würden wir auch lasten verteilen können.

 

Grüße

 

R.Wolff

[Wordo 11]

@Wordo

Zu der ASA. Die zwei ASA's laufen virtuell. Sprich 2 x Hardware = 4 x virtuell (Active/Standby).

 

Du meinst wahrscheinlich Active/Active mit 2 Contexten, da ist dann VPN garnicht moeglich.

 

Warum geht ihr denn auf 2800er? Aus welchem Grund wurde das entschieden?

[v-rtc 88]

Ja wir haben 2 Contexte, die jeweils Failover haben. Ok, das ist dann recht schlecht. Kannst Du mir evtl. kurz sagen, wieso die das dann nicht können?

 

Welche Lösung würdest Du vorschlagen?

 

Der 2800er wurde damals genommen, weil man mit diesen PBR (Policy Based Routing) und QoS (Quality of Service) machen könnte.

Mittlerweile sieht aber alles anders aus, als damals vorgeschlagen und somit haben wir jetzt Fragen über Fragen.

 

EDIT:

Beim 8xx Router kann man in der crypto ipsec client ezvpn ein default peer festlegen.

Somit wäre das auch geklärt. Frage ist dann eher wie man es umsetzt intern (Routing etc.)

 

 

Grüße

 

R.Wolff

[Wordo 11]

Cisco Security Appliance Command Line Configuration Guide, Version 8.0 - Configuring Failover [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems

 

Failover Configuration Limitations

 

You cannot configure failover with the following type of IP addresses:

 

•IP addresses obtained through DHCP

 

•IP addresses obtained through PPPoE

 

•IPv6 addresses

 

Additionally, the following restrictions apply:

 

•Stateful Failover is not supported on the ASA 5505 adaptive security appliance.

 

•Active/Active failover is not supported on the ASA 5505 adaptive security appliance.

 

•You cannot configure failover when Easy VPN remote is enabled on the ASA 5505 adaptive security appliance.

 

•VPN failover is not supported in multiple context mode.

 

•CA server is not supported. If you have a CA server configured on the active unit, the CA server functionality will be lost when the unit fails over. The crypto ca server command and associated commands are not synchronized or replicated to the peer unit.

 

 

 

Wenn du Active/Active hast muss das mind. eine ASA5510 sein. Da ist eine schneller als beide 2800er zusammen. Von daher wuerde Active/Standby, wie oben beschrieben, reichen. QoS sollte auch kein grosses Problem sein. Wofuer genau brauchst du PBR?

[v-rtc 88]

Das PBR wurde vorgeschlagen als Lösung, wenn wir 2 ISP haben.

Was wir aber nun doch nicht so umsetzen.

 

Momentan haben wir zwei ASA's 5510.

 

Gibt es denn eine schönere und bessere Lösung für VPN als den 2800er?

 

Grüße

 

R.Wolff

[Wordo 11]

Die ASA? Du musst schon genaue und konkrete Anforderungen schreiben. Du kannst es mit ASA und mit 2800 loesen.

 

Vorschlag:

Beide ASA laufen ohne Failover, jede ASA hat eigenen ISP. Beide fahren untereinander OSPF mit RRI. Die Clients haben wahlweise die eine, oder andere als primary Peer eingetragen. Ueber OSPF wissen die ASAs wo welches Netz grad VPN macht.

 

EDIT: Hier is noch n netter Thread zu ASA, VPN und Failover:

http://forum.cisco.com/eforum/servlet/NetProf?page=netprof&forum=Virtual%20Private%20Networks&topic=Security&topicID=.ee6b2b8&fromOutline=&CommCmd=MB%3Fcmd%3Ddisplay_location%26location%3D.1de007d1

[v-rtc 88]

Ok ich schau mal rein.

 

Momentan trennen wir eben Firewall und VPN gerade durch die ASA und den 2800er.

Die Frage ist, ob eine Lösung wie folgt, wirklich so toll ist, oder eben andere Möglichkeiten gibt:

 

In Worten:

Pro Provider eine virtuelle(Context) ASA sowie ein 2800er Router.

Ich hoffe man kann es verstehen.

 

Noch als Info:

Glücklich sind wir mit den 2800er nicht wirklich, da im Vergleich zum Concentrator einiges fehlt oder nicht machbar ist.

 

Vielleicht ergibt sich ja doch noch eine bessere Lösung.

 

Danke.

 

Grüße

 

R.Wolff

[Wordo 11]

Welche Funktion erfuellt der 2800er in diesem Szenario? VPN? Einwahl beim ISP?