Whistleblower 45 Geschrieben 1. März 2011 Melden Teilen Geschrieben 1. März 2011 Hallo, mich interessiert mal wieder, was sich maximal aus einem 871 hinsichtlich Anbindung von ISP (sprich outside-IF) angeht. Bei der ASA geht ja scheinbar nur 1x outside http://www.mcseboard.de/cisco-forum-allgemein-38/asa-zwei-outside-interfaces-174628.html ... Hintergrund ist folgender: Wir haben einen Provider (Kabel Deutschland), der rein für den Internetzugang genutzt wird (was anderes ist bei den häufigen Problemen und "halb-dynamischer" IP auch nicht drin...), sowie einen SDSL-Anschluss, der in erster Linie für VPN-Traffic genutzt werden soll (kann gerne auch zusätzlich Backup für Internet-Traffic spielen, wenn sich das gescheit umsetzen lässt). Aktuell wird für beide Provider ein separater 871 betrieben, ich würde das allerdings gerne auf ein Gerät bekommen. Kommt hier dann PBR ins Spiel damit das ganze funktioniert? Was ist hinsichtlich NAT zu beachten? Bisher existiert dazu ja ein Eintrag auf jedem Router in der Form ip nat inside source route-map RMAP_1 interface XY overload den ich allerdings immer nur für ein IF nutzen kann... Wie sähe NAT denn in Zusammenhand mit PBR aus? Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 1. März 2011 Melden Teilen Geschrieben 1. März 2011 Hi, schau mal hier More ISP Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 1. März 2011 Autor Melden Teilen Geschrieben 1. März 2011 Das sieht interessant aus, werde ich mir mal ansehen! Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 9. März 2011 Autor Melden Teilen Geschrieben 9. März 2011 Noch eine Frage dazu: Vorausgesetzt, zwei ISPs sind angebunden, Routing und NAT ist alles soweit korrekt eingerichtet - ist es möglich VPNs dann auch noch unterschiedlich zu terminieren? Also zwei Crypto-Maps einrichten, eine auf das eine ISP-IF, eine auf das zweite ISP-IF? Wäre super, dann könnte ich sukzessive VPNs umziehen... :) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 9. März 2011 Melden Teilen Geschrieben 9. März 2011 Hi, ne das wird nicht gehen - den wie soll dann die PBR aussehen - wohin soll er denn dann Port 500 Pakete routen ?!? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. März 2011 Melden Teilen Geschrieben 9. März 2011 Hm, nur ein Gedankenspiel: acl 101 mit src ip ISP_A acl 102 mit src ip ISP_B Route-map mit match auf 101 route durch IF ISP_A Route-map mit match auf 102 route durch IF ISP_B local policy map muss noch aktiv sein. Kann aber sein das das nich funzt ... :) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 9. März 2011 Autor Melden Teilen Geschrieben 9. März 2011 Ich werd auf jeden Fall mal berichten - muss mir momentan erstmal eine Testumgebung dafür schaffen, wird wohl auf 1x DSL (mit fester IP) und 1x ISDN Dialer hinauslaufen Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 9. März 2011 Melden Teilen Geschrieben 9. März 2011 Hi, das Problem ist ja - du weißt ja nicht von wo die "Souce" aus dem Internet kommt. Das würde dann nur auf Basis eines Statischen Routings laufen. Als Testaufbau kannst du dir doch 3 Router und nen Switch nehmen. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 9. März 2011 Melden Teilen Geschrieben 9. März 2011 Aber das Antwortpaket ist ja die bekannte Source. ISP_A (1.1.1.1) ISP_B (2.2.2.2) Default-GW 1.1.1.1 Crpyto-map 2.2.2.2 wird angesprochen, dann muss das Antwortpaket vom Router ja als 2.2.2.2 kommen. Also Source 2.2.2.2 per PBR ueber IF ISP_B. Keine Ahnung ob das funzt .. bin grad zu faul nen Router hier aufzusetzen :) Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 9. März 2011 Autor Melden Teilen Geschrieben 9. März 2011 Statische Routen wären gar nicht mal das Problem dabei - feste IPs wären an allen Stellen vorhanden... Testaufbau steht auch noch nicht... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 11. März 2011 Autor Melden Teilen Geschrieben 11. März 2011 So, ein Problem sehe ich gerade hinsichtlich NAT: Dual-ISP unterstützt nur route-maps mit "match interface" - hier habe ich bisher "match ip" mit einer Access-List genutzt -> enthielt dann auch die lokalen Netze für die Tunnel. Da müsste ich erstmal erstmal eine andere Lösung dann für suchen... Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. März 2011 Autor Melden Teilen Geschrieben 15. März 2011 (bearbeitet) So, das ganze funzt jetzt wie gewünscht! :D Der Test-Router (1712) hat jetzt zwei ISPs, einmal als PPPoE-Dialer (hängt tatsächlich am Internet), einmal über ein VLAN-Interface (109) zu einem (SDSL) WAN-Router (nur in Lab-Umgebung simuliert). Darüber läuft jetzt Internet-Zugriff (über Dialer1), VPN zu Standort 1 (über Dialer) und VPN zu Standort 2 (über VLAN-IF 109). NAT funktioniert nach wie vor noch mit route-map und "match ip <ACL>", über ein "match interface XY" würde wie erwähnt der Tunnelaufbau nicht zustande kommen. Im großen und ganzen habe ich mich an die Anleitung NIL - Small Site Multi-Homing gehalten, und habe dann den Traffic über statische Routen gesteuert - hier müssen auch Routings für die internen Netze auf das jeweilige WAN-Interface gesetzt werden, sonst wechselt er lustig zwischen beiden Default-Gateways. Es gibt zwei verschiedene Crypto-Maps, eine ist an den Dialer gebunden, die andere an das VLAN-Interface. Sicherlich nichts für große Umgebungen, aber für Standorte mit 3-5 VPNs sicher eine interessante Lösung, wenn man für zwei ISP nur einen Router einsetzen will. UPDATE Beim weiteren Test bin ich nun doch noch auf eine Einschränkung gestoßen - NAT funktioniert nur für das erste Interface (in meinem Fall für den Dialer). Somit scheidet die Lösung für echten Dual-ISP Betrieb mit Internetzugriff über beide Provider aus. Zur Nutzung von zwei ISPs für VPNs und einem Def.-GW für Internetzugang ist die Lösung aber durchaus geeignet, solange nicht (z.B. per http) auf die publicIP(s) zugegriffen werden muss, die über den zweiten ISP angebunden sind... bearbeitet 15. März 2011 von bnice Update Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 15. März 2011 Melden Teilen Geschrieben 15. März 2011 Hi, es wäre nett - wenn du uns die Config mal zur Verfügung stellen könntest Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 15. März 2011 Autor Melden Teilen Geschrieben 15. März 2011 kein Problem, anbei die relevanten Daten aus der Config... sample.txt Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.