Site to Site VPN tussen UPC en Ziggo

Weet iemand of het onderstaande kan werken.

Achtergrond
Ik maak zo nu en dan een kopie van al mij data door deze via internet te synchronizeren naar mijn ouders en vice versa. tot voor kort was dit geen probleem omdat we beide bij XS4All zaten en de daarbij geleverde Fritz boxen hebben standaard de mogelijkheid een site-2-site VPN op te bouwen.

Gezien de groei van de gegevens (foto's worden immers steeds groter) in de wens voor mee bandbreedte hebben we beide besloten een overstap van DSL naar de kabel te maken. Ik naar UPC (fiber power 60) en mijn ouders naar Ziggo (Internet Plus ZZ1 - Zakelijk)

Gewenste opstelling
Het idee is, ook vanuit een hobby gedachte, om met twee Cisco ASA 5505's de gewenste site-2-site VPN opnieuw op te bouwen. Schematisch komt het er dan ongeveer als volgt uit te ziet

LAN (192.168.1.0/24) --- ASA 5505 --- ( Internet ) --- UPS Router ---172.20.1.0.24 (LAN) --- ASA 5505 - 172.20.10.0/24 (LAN)

Uitdagingen
Nu ben zowel ik als mij ouders niet echt bekend met Cisco's apparatuur maar het Internet helpt een heel stuk. Helaas toch niet ver genoeg aangezien ik nu tegen de beperkingen van het UPC modem lijk aan te lopen.

Mijn ouders hebben een zakelijk abonnement en daarmee 5 vaste ip addressen. Deze komen dan ook direct op de ASA 5505 uit.
Ik heb een consumenten abonnement en het modem van UPC kan je helaas niet als bridge inzetten. Met andere woorden, ik krijg het externe IP Adress met geen mogelijkheid op de ASA 5505.

Het lukt mij dan ook niet om de site-2-site VPN in de lucht te krijgen.

Twee vragen
Kan de geschetse situatie ooit gaan werken?
Zo ja, hoe?

Ik heb op internet al veel gezocht maar daar wordt vrijwel continue gebruik gemaakt van vaste ip adressen welke direct op de ASA 5505's zijn ingesteld.

Kompaan schreef op maandag 31 januari 2011 @ 12:48:
[...]

5505 als DMZ-host instellen kan ook niet? Je moet namelijk wel ESP pakketjes kunnen versturen/ontvangen op je 5505's.

Je kan op het UPC modem een DMZ host instellen en deze is ook ingesteld richting de 5505 maar blijkt helaas niet het gewenste resultaat te geven.
Ik weet ook niet in hoeverre de NAT translatie van het UPC modem we werking van de VPN in de weg zit

DukeBox schreef op maandag 31 januari 2011 @ 13:30:
Je kan ook je UPS/UPC router omruilen voor alleen een modem. Dan heb je gewoon een extern op op de ASA. Hoe dan ook, een ip-vpn tussen 2 asa's is een fluitje van een cent.

Je hebt hoe dan ook een nadeel dat je geen routes kan aanmaken op de UPC router, dus als je een andere VPN gateway hebt dan je default gateway dan moet je op al je systemen en apparaten deze handmatig toevoegen.

Het is overigens ook mogelijk vpn's met de asa te maken met andere merken. Ik heb hem succesvol weten te connecten met F5, Nokia, Watchguard, Zyxel/Zywall, Netscreen en Draytec.

Goed punt, ik dacht ergens gelezen te hebben dat dit niet meer mogelijk was maar n.a.v. je bericht toch even de helpdesk van UPC gebeld.
Het verzoek om de UPC Router als modem in te stellen blijkt niet onbekend te zijn bij UPC. Er blijken dus meer mensen te zijn welke de voorkeur hebben om hun eigen router te gebruiken. De oplossing was niet direct bekend bij de engineer welke ik aan de lijn kreeg maar hij heeft aangegeven mij dinsdag terug te bellen.

De resultaten zal ik hier ook plaatsen.

Update 1-2-2011:

Eerder op de dag contact gehad met UPC.
Diverse mogelijkheden besproken waaronder het gebruik van DMZ host en portforwarding. Omdat het al niet werkt met de ASA als DMZ host heb ik weinig vertrouwing in het instellen van portforwarding.

Een ander voorstel vanuit UPC was om de Thomson router te vervangen door een Cisco 3212 modem. Hiermee komt het externe IP adres alsnog direct op de ASA uit. De Cisco 3212 heeft nog steeds de benodigde poorten om ook telefonie weer aan te sluiten. Wat mist is wireless maar aangezien de Thomson momenteel beneden in de meterkast toch niet de gewenste dekking oplevert is die toch al vervangen door een losse unit elders in het huis.

UPC zojuist aangegeven de router graag om te willen wisselen voor het modem dus het is nu even wachten totdat deze geleverd wordt.

DukeBox schreef op dinsdag 01 februari 2011 @ 21:53:
Ik heb dezelfde oplossing, cisco 3212 met daar achter een cisco 5505 i.c.m. een lancom L-322agn.
Wat ik nog vergeten was te melden, maar misschien ook een leuke optie is de Cisco SA 500 serie

Bedankt, ga ik zeker eens naar kijken. Ik moet zeggen een ASA 5505 is tweedehands niet al te duur maar wireless en gigabit maakt de S5xx serie wel interessant. Ik hou het in gedachte maar zeker goed om te weten.

Update 3-2-2011
Modem wordt opgestuurd en kan in overleg met UPC wellicht begin volgende week geactiveerd worden.
Al met al ziet het er goed uit en ik ben benieuwd of e.e.a. daarna goed gaat werken.

Jullie horen de resultaten.

Update 8-2-2011:

Met hulp van een collega draait nu alles naar behoren. De site-to-site VPN is in de lucht en werkt zonder problemen. Morgen nog even controleren of e.e.a. niet te ver open staat maar de basis is gelegd.

Hier iedereen in ieder geval bedankt voor hun op- en aanmerking.