hegl 10 Geschrieben 14. Oktober 2009 Melden Teilen Geschrieben 14. Oktober 2009 Wir müssen von einer Aussenstelle, deren traffic komplett in den Tunnel zur Zentrale geschickt ird, einen weiteres VPN zu einem Partner aufbauen. Da dies auschließlich von der Aussenstelle benötigt wird, möchte ich den Tunnel auch von dort aufbauen und kein Hub and Spoke über die Zentrale. Was ich nun nicht mehr weiß ist, wie das jetzt prioritätsmäßig abgehandelt wird. Bist dato habe ich ja nur eine ACL mit any. Wenn ich nun einen weiteren Tunnel aufbauen möchte und für den Zugriff ins Netz A.B.C.D eine ACL erstelle, wie entscheidet die ASA, dass dieses Netz auch über den entsprechenden Tunnel erreicht wird und nicht über den Tunnel zu unserer Zentrale? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 14. Oktober 2009 Melden Teilen Geschrieben 14. Oktober 2009 Hi, berechtigte Frage - habe ich noch nicht ausprobiert - aber ich könnte mir denken das es wie beim "normalen" Routing ist und das es evtl. in der IPSEC Table Höher stehen sollte. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 14. Oktober 2009 Melden Teilen Geschrieben 14. Oktober 2009 Ich würde die crypto-map entsprechend anpassen, also das VPN wo nur bestimmte Netze bei dm "fremdVPN" erreichbar sein sollen mit niedrigerer Sequenznummer als dein any richtung Zentrale. Lässt sich aber easy im GNS3 nachstellen Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 15. Oktober 2009 Autor Melden Teilen Geschrieben 15. Oktober 2009 Hmm, m.E. hat diese Sequenz-Nr. nichts mit einer Priorität zu tun - oder irre ich da? Bei der isakmp-policy spielt die Sequenz-Nr. doch eine Rolle, z.B. für RA. GNS3 habe ich (noch) nicht im Einsatz, werde wohl auch mal damit rumspielen müssen.... Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. Oktober 2009 Melden Teilen Geschrieben 15. Oktober 2009 nein, wenn eine anfrage von aussen gemacht wird dann wird die crypto map entsprechend der sequenznummer nach unten durchgearbeitet bis ein passender eintrag gefunden wird Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 16. Oktober 2009 Autor Melden Teilen Geschrieben 16. Oktober 2009 Grundsätzlich stimme ich Dir zu, aber bei RA sollte die Sequenz-Nr. immr die höchste sein. Sieht man eigentlich auch daran, dass der ASDM automatisch die 65535 vergibt - bei Einrichtung über den VPN-Wizzard. Als ich bei der PIX noch alles über die CLI konfiguriert habe, bin ich damit mal uf die Nase gefallen, als ich für RA eine niedrigere Sequenz angegeben hatte als für eine L2L. Da funktionierte RA nämlich eher gar nicht. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 16. Oktober 2009 Melden Teilen Geschrieben 16. Oktober 2009 wo siehst du hier eien Anforderung nach RA ? Ich sehe hier 2 L2L Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 16. Oktober 2009 Autor Melden Teilen Geschrieben 16. Oktober 2009 wo siehst du hier eien Anforderung nach RA ? Ich sehe hier 2 L2L Jepp, hast ja recht, hatte Dich falsch verstanden. :o Egal jetzt, ich werde das - wenn ich ein wenig Luft habe - nachstellen und dann berichten. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.