m@rtin 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hallo Leute, nach langer, studienbedingter Abstinenz kann ich endlich wieder die lustigen Dinge des Lebens in Angriff nehmen. Und hier auch schon das erste Problem: ich habe mehrere (aktuell 2) Site-to-Site VPN Strecken zu implementieren, die aber alle über eine zentrale Firewall laufen müssen. Sprich: eine ASA 5505 befindet sich extern im Internet, mit offizieller IP, und eine andere befindet sich in meiner DMZ hinter der zentralen Firewall. Soweit klappt das ganz gut, mit einem Päärchen. Wenn ich zwei oder mehr Strecken in Betrieb nehmen will, benötige ich auch 2 oder mehr ASA's hinter meiner Firewall (und ja, jede Strecke benötigt aus Performence-Gründen eine eigene ASA-Gegenstelle). Gibt es eine Möglichkeit die zu verwendenden Ports für die VPN-Strecke auf den ASA's zu konfigurieren ? Wenn alle externen ASA's dieselben Ports verwenden, kann die Firewall nicht vernünftig zur jeweils passenden internen ASA redirecten :(. Ein kleiner Tipp würde vermutlich schon reichen, aber ich seh den Wald mal weider vor lauter Bäumen nicht - wies halt ist wenn man aus der Übung ist. Vielen Dank ! Martin Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hallo, erstmal - dat wird nicht klappen. Es ist mir nicht bekannt - das man die IPSec Ports umbiegen kann. Desweiteren - stosse ich mich an "Performence-Gründen eine eigene ASA-Gegenstelle)" - was hast du den da für Internet ? 100 MBit ? Die ASA mit VPN an die Wand zu fahren - da musst die aber schon in der Verschlüsselung Purzelbäume schlagen. Alle Lines die ich kenne wo man nur 1 feste IP bekommt - schaffen es nicht die ASA´s an die Wand zu bringen - auch bei mehreren VPN´s nicht. Zitieren Link zu diesem Kommentar
m@rtin 10 Geschrieben 24. März 2009 Autor Melden Teilen Geschrieben 24. März 2009 Guten Morgen Blackbox, Das ist schade, also dass das wohl nicht so hinhauen wird. Habe auch nach längerer Suche weder im Netz, noch direkt bei Cisco etwas darüber gefunden. Zur Verdeutlichung der Performence-Geschichte: die Verbindung kann tatsächlich mit Gigabit erfolgen wenns sein muss. Rein leitungstechnisch ist es also durchaus möglich die ASA's ins Schwitzen zu bringen. Die ASA-Verbindung selbst wird in dem Fall über das "LAN" einer anderen Firma aufgebaut, und erstreckt sich örtlich nur über wenige Häuserblocks. Nenne es Anbindung einer Außenstelle unter Zuhilfenahme einer anderen LAN-Infrastruktur. Der Ausdruck "offizielle IP" war vielleicht etwas unglücklich, sorry. Grüße und einen fröhlichen Tag Martin Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 24. März 2009 Melden Teilen Geschrieben 24. März 2009 Hi, wenn es das LAN ist - dann sollte es doch kein Problem sein hier mehrere IP´s zu bekommen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.