VPN Anbindung mit 2 ISP (Cisco ASA/2800/8xx)

[v-rtc 88]

Welche Funktion erfuellt der 2800er in diesem Szenario? VPN? Einwahl beim ISP?

Die 2800er machen nur VPN. Die ASA NATet den 2800ers dann nach draussen.

 

VPN auf der ASA wäre sicher auch interessant. Die Frage ist ob dies wirklich perfomanter und besser ist, als sepreat über die 2800er, da der ganze Traffic über die erste ASA geht.

Was mir nocht nicht ganz klar ist, wie das OSPF in unserem Fall arbeitet, bzw. bei einem Ausfall der ASA 1 hilfreich ist.

 

Grüße

 

R.Wolff

 

P.S.: Wir haben noch 2 PIXen 515E glaub ich hier. Vielleicht bringt das ja noch neue Möglichkeiten?

[Wordo 11]

Die ASA routet 170 Mbit VPN-Traffic (laut Hersteller), der 2800 grob geschaetzt 30 (je nach Modell). Glaub mir, die ASA langweilt sich :)

 

Kennst du dich mit OSPF aus? Wenn du beide fuer OSPF klar machst sagt die eine ASA der anderen welche Netze sie kennt, also welcher Client grad per VPN verbunden ist. So weiss jede ASA wo grad der VPN-Traffic zum Client hin soll. Wenn eine ASA ausfaellt waehlt sich logischerweise der Client bei der 2ten ASA ein (wird am Client konfiguriert). Das sollte auch kein Problem sein.

[v-rtc 88]

Die ASA routet 170 Mbit VPN-Traffic (laut Hersteller), der 2800 grob geschaetzt 30 (je nach Modell). Glaub mir, die ASA langweilt sich :)

 

Kennst du dich mit OSPF aus? Wenn du beide fuer OSPF klar machst sagt die eine ASA der anderen welche Netze sie kennt, also welcher Client grad per VPN verbunden ist. So weiss jede ASA wo grad der VPN-Traffic zum Client hin soll. Wenn eine ASA ausfaellt waehlt sich logischerweise der Client bei der 2ten ASA ein (wird am Client konfiguriert). Das sollte auch kein Problem sein.

Wow, ok. Gut zu wissen. Danke.

 

Nein nie gehört, bisher. Das Problem ist halt, das hinter der ASA1 unser komplettes Netz hängen würde und wir mometan dran sind es redundant auszulegen. Aber ich bin grad auf der Suche um mehr herauszufinden, was die ASA anbelangt zwecks VPN.

 

Danke!

 

Grüße

 

R.Wolff

[Wordo 11]

Stell doch hinter ASA2, also neben den Router, die ASA2, dann kannste mit der bisschen rumspielen ;)

[blackbox 10]

Oder schiess dir eine 5505 mit 10 Mac zum Spielen - damit kannst du in einer Testumgebung alles machen - und dann auf der Produktiv umsetzen (bis auf Virenscann und Intru.Prev.) - aber auch mein Rat ist - tu die 2800er weg und mach es mit der ASA - den 2800er sehe ich eher wenn du "reinrassig" routen willst oder callmanager oder so.

 

Ich löse sowas eigentlich immer nur mit den ASA´s.

[v-rtc 88]

Hallo.

 

Das heißt am besten die virtuellen Firewalls wieder entfernen.

Zwei Hardware Firewalls konfigurieren (VPN etc.) mit dem jeweiligen ISP.

 

Können dann beide ASA's VPN Tunnel aufbauen? Sprich man verteilt die VPN Tunnel.

Wie funktioniert OSPF in diesem Zusammenhang genau?

Wenn eine Hardware ausfällt, wäre der ISP 2 nur noch erreichbar.

Würde es dann hier Sinn machen, eine weitere ASA als Failover zu kaufen?

 

 

Vielen Dank.

 

Grüße

 

R.Wolff

[Wordo 11]

Wozu? Wenn ISP1 und ASA2 ausfaellt musst du schon richtig Pech haben, und dann konfigurierst du ASA1 einfach auf ISP2. Wenn eine ausfaellt musst du ueber kurz oder lang ja eh einen Ersatz beschaffen --> oder SmartNet

 

In OSPF und RRI solltest du dich erst mal einlesen, das einzusetzen ohne Vorahnung ist fast schon fahrlaessig ;)

[v-rtc 88]

Als Information.

 

Also es wurde vorgeschlagen die ASA ohne Context aufzusetzen mit VPN.

Die zwei 2800er würden dann PBR machen und um die zwei ISP zu nutzen.

 

Mal schauen was wir machen oder auch nicht.

 

Danke.

 

Grüße

 

R.Wolff